Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) планирует внедрить программу поиска уязвимостей с вознаграждением bug bounty для 20 информационных систем (ИС) до конца 2023 года. Эту информацию предоставил заместитель директора департамента обеспечения кибербезопасности Минцифры, Евгений Хасин, в рамках межрегиональной конференции по информационной безопасности “Инфофорум-Центр” в Туле.
В начале 2023 года Минцифры провело успешный эксперимент с программой bug bounty на портале Госуслуг (ЕПГУ). За нахождение уязвимостей белым хакерам было выплачено около 2 млн рублей. Максимальная сумма выплат за одну уязвимость составила 350 тыс. рублей, а минимальная – 10 тыс. рублей. Более 8,400 человек приняли участие в этом проекте и обнаружили 34 уязвимости. Примечательно, что участники не имели доступа к внутренним данным ЕПГУ и работали исключительно на внешнем периметре системы.
Представители Минцифры пока не раскрыли детали программы для других информационных систем и сумму вознаграждений. В то же время, технический директор компании Weblock, Лука Сафонов, уточнил, что в России средняя сумма выплат за нахождение уязвимостей колеблется от 30 тыс. рублей до 70 тыс. рублей, с максимальными выплатами около 4 млн рублей и минимальными в размере примерно 5 тыс. рублей.
Эта практика, называемая “bug bounty,” становится всё более распространенной, поскольку позволяет компаниям привлекать независимых специалистов для поиска уязвимостей, обеспечивая таким образом более быстрое и эффективное обнаружение уязвимостей в своих информационных системах.