26.08.2024 10:41
PRO Компании

Рынок багбаунти растет за счет финтеха и госсектора

Одними из драйверов российского рынка багбаунти (bug bounty — выплата вознаграждения за обнаружение уязвимостей) являются финтех и госсектор, сообщил директор департамента анализа защищенности и противодействия мошенничеству компании Bi.Zone Евгений Волошин в рамках международной конференции по практической кибербезопасности OffZone.

В августе исполнилось два года с момента запуска программы поиска уязвимостей Bi.Zone Bug Bounty. Bi.Zone Bug Bounty — это платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Компании размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом выбирают интересные для себя программы, ищут уязвимости и получают денежное вознаграждение за подтвержденные баги.

Из материалов Bi.Zone следует, что сегодня на платформе 34 компании и 78 программ по поиску уязвимостей. Общая сумма выплат независимым исследователям — более 60 млн рублей.

За последний год на платформе более чем в три раза увеличилось количество компаний из финансовой отрасли и в шесть раз выросло число программ от госсектора.

На Bi.Zone Bug Bounty запустили первую в стране программу по поиску уязвимостей в инфраструктуре субъекта РФ — Ленинградской области.

На платформу выходят все больше компаний из ритейла и IT-сектора, а также онлайн-сервисы. Это связано с высокой скоростью цифровизации и темпами разработки новых решений в перечисленных сегментах, общим трендом на безопасную разработку, а также пониманием значительных финансовых и репутационных рисков для компаний в случае успешной кибератаки.

За последний год на Bi.Zone Bug Bounty более чем в 1,5 раза возросло количество отчетов от независимых исследователей. При этом каждая шестая обнаруженная уязвимость относилась к уровню high и critical.

Компании активно привлекают багхантеров к программам, расширяя скоуп и повышая размеры вознаграждений. За последний год на платформе почти в три раза увеличились выплаты: их общая сумма составила 45 млн рублей, а за уязвимости уровня high и critical заплатили 28 млн рублей.

На OffZone было объявлено о том, что Сбербанк, в чью экосистему входит компания Bi.Zone, запустил на платформе Bi.Zone Bug Bounty публичные программы (доступны для всех желающих) багбаунти для трех своих продуктов — официального сайта Сбербанка, приложения «СберБанк Онлайн» и «СберИнвестиции». Об этом заявил начальник управления экспертизы кибербезопасности Сбербанка Сергей Крайнов.

В онлайн-банкинге исследователи смогут искать баги:

  • в веб- и мобильных версиях «СберБанка Онлайн» для iOS и Android;
  • мессенджере онлайн-банка; «Сбер ID» — сервисе для входа на сайты и в приложения экосистемы
  • в «СберИнвестициях» багхантерам предлагается исследовать веб- и мобильное приложение.

Выплаты за подтвержденные уязвимости достигают 500 тыс. рублей в зависимости от уровня критичности.

«Мы рады, что к нашей платформе присоединился один из ключевых игроков рынка финтеха. Совместная работа независимых исследователей на нашей платформе и специалистов Сбера позволит повысить устойчивость сервисов экосистемы к актуальным киберугрозам и обеспечить сохранность данных пользователей», — заявил Евгений Волошин.

По словам Сергея Крайнова, Сбербанк постоянно развивает различные инструменты обеспечения кибербезопасности клиентов, продуктов и собственной инфраструктуры. «Запуск публичной программы Сбера на платформе Bi.Zone Bug Bounty мы рассматриваем как еще один важный шаг в достижении таких целей. Мы рассчитываем, что при поддержке сообщества этичных хакеров и компании BI.ZONE в скором времени программа Сбера станет одной из самых активных и конкурентоспособных программ багбаунти», — отметил он.

В настоящее время в РФ действуют три платформы для проведения программ багбаунти — BugBounty.ru, Standoff 365 Bug Bounty от Positive Technologies и Bi.Zone Bug Bounty. К настоящему времени на этих площадках 29 компаний проводят 74 публичные программы багбаунти.

Авторы:
Тэги: Кибербезопасность
Рубрики: Наука и технологии