Система Bug Bounty готовится к унификации и новым тарифам.
Минцифры рассматривает возможность введения «государственных тарифов» за участие в программе Bug Bounty. Об этом на SOC Forum 2024 сообщил заместитель министра цифрового развития Александр Шойтов, пишет Коммерсантъ. По его словам, инициатива направлена на «нормализацию процедуры», и на текущий момент многие федеральные и региональные органы власти используют такую программу, однако она пока не является обязательной, несмотря на предложения ряда участников рынка. Шойтов подчеркнул, что необходимо доказать ее эффективность и уточнить зоны ответственности сторон, принимающих участие в тестировании систем.
Для введения Bug Bounty как обязательной процедуры ее необходимо нормализовать, в частности ввести государственные тарифы, добавил Шойтов. По информации источника в отрасли кибербезопасности, под тарифами понимается регулирование выплат «белым хакерам» за выявленные уязвимости.
В Минцифры уточнили, что предложение по введению тарифов находится на стадии проработки, и пока рано говорить о конкретных мерах или деталях. Представители министерства отметили, что сейчас обсуждаются различные сценарии совместно с другими ведомствами и представителями отрасли.
Работа над масштабированием программы Bug Bounty в госсекторе ведется с 2022 года, когда наблюдалось увеличение кибератак на российские IT-системы, в том числе государственные. Одними из первых участников стали Минцифры и портал «Госуслуг». В декабре 2023 года в Госдуму был внесен первый законопроект, регулирующий деятельность «белых хакеров», а также разработан второй законопроект, направленный на стандартизацию тестирования IT-систем. Летом 2023 года участие в Bug Bounty включили в рейтинг цифровой трансформации для государственных органов.
Эксперты отмечает, что введение тарифов может сыграть ключевую роль в стандартизации программы Bug Bounty, особенно если она станет обязательной для объектов критической информационной инфраструктуры (КИИ) и государственных органов. Обсуждается разработка сетки тарифов по федеральным округам, а для крупных общероссийских сервисов, таких как «Госуслуги», планируется установить отдельные расценки. Так, для критических уязвимостей на уровне федеральных округов предполагаются выплаты от 30 до 50 тысяч рублей, тогда как для общероссийских сервисов сумма вознаграждений может достигать до миллиона рублей.
Ряд специалистов положительно оценивают введение государственных тарифов, указывая, что при этом унифицируется вопрос оплаты за обнаружение уязвимостей, что особенно актуально для государственных систем, где требуется четкое регулирование. Полагается, что тарифы смогут учитывать не только интересы бизнеса, но и ожидания сторонних команд, которые участвуют в программе Bug Bounty и проводят поиск уязвимостей в инфраструктуре.
Вместе с тем, существуют мнения, что фиксированная цена за обнаружение уязвимостей может снизить мотивацию участников Bug Bounty, если она не будет соответствовать реальным масштабам выявленных проблем и учитывать динамику рынка информационной безопасности, где стоимость подобных услуг остается высокой.
Сбалансированная диета для серого вещества