Импортозамещение хакеров и проблемы с законом

Современные программы — это сложные комплексы, состоящие из разработанного своими силами и заимствованного программного кода, которые могут содержать неизвестные авторам ошибки и недочеты, допущенные при разработке, проектировании или администрировании. Эти уязвимости, баги, представляют собой лазейку для злоумышленников. 

Проблемных мест в программах много. По словам аналитика исследовательской группы компании Positive Technologies Федора Чунижекова, 65% исследованных компанией в 2020—2021 гг. приложений имели критические уязвимости, такие как перехват контроля, повышение привилегий или возможность атаки на клиентов.

Для обеспечения защищенности службам информационной безопасности компаний нужно выявлять и устранять уязвимости как можно быстрее. Нестандартные действия злоумышленников в сочетании с постоянными обновлениями приложений усложняют эту задачу. Отчасти помогают автоматизированные решения поиска проблемных с точки безопасности мест. Но они эффективны не всегда, особенно если дело касается контроля доступа и уязвимостей бизнес-логики. Без человека не обойтись, но ручной анализ требует знаний, больших временных и финансовых затрат.

Один из способов решения проблемы — краудсорсинговый подход, объединяющий автоматический и ручной анализ с привлечением широкого круга специалистов, «белых хакеров», ищущих уязвимости за вознаграждение. Этот подход, получивший название bug bounty, давно используется за рубежом. Среди лидеров — ИТ-компании, онлайн-сервисы, сфера услуг, финансовые организации и блокчейн-проекты. Большой плюс для заказчика — вознаграждение выплачивается не за саму работу по поиску уязвимостей, а за результат, т.е. подробный отчет о выявленной проблеме.

Популярность подхода растет. По данным аналитиков платформы HackerOne, в 2021 г. исследователи выявили уязвимостей на 21% больше, чем годом ранее, а количество программ bug bounty за год увеличилось на 34%. AllTheResearch предсказывает рост рынка bug bounty к 2027 г. до $5,4 млрд.

Пионером в России стала компания «Яндекс», запустившая программу bug bounty в 2012 г. В июне 2021 г. компания заявила, что за время действия программы выплатила охотникам за ошибками более 30 млн руб. О программах bug bounty также объявляли VK, Rambler, Тинькофф, Qiwi, «Озон» и «СКБ Контур».

Самостоятельная организация bug bounty требует экспертизы и больших ресурсов. Чего стоит только первичная обработка отчетов «белых хакеров», выявляющая некорректные или дублирующие друг друга документы. Кроме того, надо оценивать результат и разбираться с конфликтными ситуациями. Да и не все хакеры захотят работать с малоизвестной компанией, которая может и не заплатить.

Упрощает процесс использование платформ bug bounty — агрегаторов, объединяющих заинтересованные в тестировании предприятия и исследователей безопасности, выбирающих подходящий проект. 

До начала СВО на Украине российские предприятия использовали крупные мировые платформы, прежде всего HackerOne. В марте эта самая популярная в мире площадка отключила российских пользователей. Появилась необходимость в импортозамещении — переходе на свои платформы bug bounty. 

В настоящее время действуют три такие российские платформы. C февраля 2021 г. работает Bugbounty.ru, в мае 2022 г. Positive Technologies представила Standoff 365 Bug Bounty, а в августе появилась платформа по поиску уязвимостей «дочки» Сбера компании BI.ZONE. «Белые хакеры» могут регистрироваться на всех трех площадках и выбирать подходящие им проекты. 

Вознаграждение может превышать 1 млн руб. Средняя сумма выплат за выявленные критические уязвимости на платформе Standoff 365 Bug Bounty составляет 420 тыс. руб., что сопоставимо с оплатой на зарубежных платформах. Наибольшие средние суммы вознаграждений в программах поиска уязвимостей блокчейн-проектов и ИT-компаний.

В стране есть квалифицированные исследователи уязвимостей. По данным Positive Technologies, в 2020 г. Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров, обогнав Китай и Германию.

На самых популярных российских платформах зарегистрировано по 2,5 тыс. исследователей. Это мало, если учесть, что это в основном одни и те же люди и что активно занимается поиском уязвимостей не более трети из них. В основном это молодые мужчины, граждане РФ. Некоторые покинули страну с началом мобилизации, и багхантеров стало еще меньше. 

Зарубежных исследователей почти нет, поскольку существуют проблемы с оплатой их работы. Провести платеж за границу можно было бы с помощью криптовалют, тем более что для зарубежных охотников за багами такой вид оплаты, как правило, вполне приемлем. Отвечая на вопрос нашего издания, директор по продукту компании Standoff 365 Ярослав Бабин сказал, что компания находится в стадии подключения консультантов, которые должны помочь решить эти проблемы. А Ф. Чунижеков пояснил: «В мире существует практика, когда вознаграждение выплачивается в криптовалюте, и мы бы очень хотели, чтобы в России она тоже появилась». Но пока криптовалюты находятся в «серой зоне», и оплата ими даже работы зарубежных исследователей заключает в себе риски для российской платформы bug bounty. 

Юридические риски существуют и для использующих программы bug bounty российских компаний, особенно из госсектора. В законодательстве отсутствует определение таких исследований, не очерчены их границы. Нет и правоприменительной практики. Проведение bug bounty на предприятиях, имеющих объекты КИИ, с юридической точки зрения неоднозначно.

Проблемы могут возникнуть и у «белых хакеров», так как их действия по поиску уязвимостей могут быть квалифицированы как неправомерный доступ к компьютерной информации в соответствии со ст. 272 УК РФ.

Минцифры пытается решить проблему. В июле 2022 г. в СМИ появилась информация, что министерство работает над возможностью введения понятия bug bounty в правовое поле, а в начале октября министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев на конференции Tadviser IT Government Day рассказал, что ведомство планирует до конца года провести bug bounty по Госуслугам. В Минцифры считают, что это должно стать примером для госкомпаний, расширив область применения подобных услуг.

Устранение юридических барьеров станет драйвером развития российского рынка bug bounty. Подход дополнит использование сканеров безопасности и проведение пентестов в процессе управления уязвимостями. Для организаций, имеющих объекты КИИ, это отличный способ проверить возможность реализации недопустимых событий, приводящих к непоправимым последствиям.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!