На днях завершился проект Минцифры по поиску уязвимостей на "Госуслугах". С февраля 8,4 тыс. человек участвовали в Bug bounty — искали слабости в государственном сервисе за вознаграждение. За небольшие баги дарили подарки с символикой "Госуслуг", а за выявление критических уязвимостей платили до 1 млн рублей.
Нормальная практика
Обращение к так называемым этичным хакерам (иначе их ещё иногда называют "белыми шляпами" из–за того, что они, образно, находятся на стороне добра) имеет давнюю историю. Агентство TAdviser в 2022 году насчитало около 40 российских компаний, объявивших в разное время открытые программы Bug bounty. Среди них "Яндекс", "Сбер", Ozon, Delivery Club, Wildberries, "Тинькофф", VK и многие другие крупные игроки.
Размер вознаграждений, которые компании готовы выплачивать этичным хакерам, варьируется от нескольких тысяч до сотен тысяч рублей. В отдельных случаях выплаты составляют более 1 млн рублей. Часто особо отличившихся этичных хакеров компании награждают не только деньгами, но и зачислением в hall of fame — зал славы лучших из лучших.
Казалось бы, это может быть нормой только для частных компаний, но не для государственных проектов, имеющих доступ к чувствительной личной информации граждан. Однако Александр Соколов, руководитель департамента аудита и консалтинга компании F. A. C. C. T., подчёркивает, что госструктурам не только допустимо проводить Bug bounty, но даже желательно. Ведь последствия атак на госсистемы имеют куда более значительные последствия, чем взломы частных компаний.
“
"Я считаю, что государственные компании должны проводить подобные программы только на тестовых стендах. Возможно, даже содержащих не весь реальный функционал или особенности архитектуры и уж точно не содержащих чувствительных данных. Иными словами, в открытый доступ стоит публиковать только такие ресурсы, полный взлом которых не несёт последствий для “боевых” систем и данных", — оговаривается при этом эксперт.
Также Соколов отмечает, что львиная доля работы при проведении любого Bug bounty — это работа с репортами, то есть результатами, которые присылают участники. Это очень трудоёмкая задача, и во многом поэтому такие программы могут позволить себе только крупные компании. Если организация хочет провести Bug bounty, сперва она должна ответить себе на вопрос, готова ли она к её грамотной организации и поддержке на время проведения.
Юлия Воронова, директор по консалтингу Positive Technologies, резонно замечает, что чувствительной информацией граждан владеют как государственные, так и частные организации. "Поэтому Bug bounty — это абсолютно нормальная практика для госпроектов. Утечки происходят вне зависимости от типа организации. К примеру, в сервисах дистанционного банковского обслуживания чувствительной информации может быть гораздо больше, чем в некоторых государственных системах", — утверждает она.
Александр Соколов также обращает внимание на то, что Bug bounty запускали госструктуры в других странах. Например, с 2016 года существует программа поиска уязвимостей для сайтов Минобороны США. В Сингапуре существует Bug bounty за поиск лазеек в критически важных государственных системах. Хакерам платят от $250 до $5 тыс. Исключительная награда в $150 тыс. присуждается за обнаружение критических уязвимостей.
Александр Зубриков, генеральный директор Itglobal.com Security, считает, что Bug bounty — это один из инструментов в обеспечении ИБ, который очень эффективен в среднесрочной и долгосрочной перспективе. "Тут скорее возникает вопрос в законодательной базе и запланированных (забюджетированных) финансовых средствах, которые государственные органы могут тратить на эти цели", — говорит он.
Дорогое удовольствие
Юлия Воронова замечает, что между бизнесом и этичными хакерами существует достаточно большая пропасть в плане коммуникаций. Даже те компании, которые хотели бы нанять такого независимого исследователя, имеют опасения, связанные с тем, что этичность отдельного хакера–одиночки под вопросом. А из–за его действий компания может понести как репутационные, так и финансовые потери. При этом конкретное физлицо никаких рисков нести не будет. Поэтому некоторые предпочитают обращаться к организациям–исполнителям из сферы ИБ.
Александр Соколов отмечает, что за последние 5–7 лет в целом выросла сознательность компаний в области ИБ. Сейчас практически весь крупный и большая часть среднего бизнеса в России понимает важность и выражает заинтересованность в этой сфере. "Не стоит забывать, что это большое и трудозатратное мероприятие. Если мы говорим о госкомпаниях, то в условиях текущих событий вопрос защиты информации стал ещё острее. Однако до проведения Bug bounty требуется ещё “дорасти”. И, конечно, важно помнить, что BB чаще всего проводится в отношении приложений, а не инфраструктуры. Я знаю не много госкомпаний, которые занимаются собственной разработкой, а потому данная программа может иметь низкую релевантность для большинства госорганизаций", — рассказывает эксперт.
Александр Зубриков прогнозирует, что Bug bounty будет набирать популярность как один из эффективных инструментов: "Часть компаний могут отказаться от других статей расходов в бюджетах ИБ в угоду Bug bounty. Тем не менее это не вопрос сегодняшнего или завтрашнего дня, скорее прогноз на ближайшие 3–5 лет".
Выйти из сумрака
Существует городская легенда, что ИБ–компании сами не прочь нанять бывших хакеров к себе в команду. Однако эксперты говорят, что это не совсем правда.
"Полагаю, что каждый такой случай уникален и специфичен. Важно понимать, что наём “настоящих хакеров” не только неэтичен, но и незаконен. Все сотрудники, которые устраиваются в нашу компанию, обязательно проходят полиграф, на котором задаются нужные вопросы. Если становится известно, что человек имел незаконный опыт в прошлом, — такому кандидату сразу же отказывают. Другой вопрос, что человек, ступивший на этот путь в прошлом, может захотеть исправиться и вернуться в легальное пространство. Вопрос его будущего могут рассмотреть компании–работодатели, но с его прошлым должны разбираться соответствующие органы", — рассуждает Александр Соколов.
Юлия Воронова считает, что сначала нужно разобраться, кого считать хакером. Например, многие любят участвовать в соревновательной хакерской игре Capture the Flag (CTF). В ней "флаги" тайно прячутся в преднамеренно уязвимых программах или на веб–сайтах, а командам нужно их найти. Становится ли человек от участия в этой игре хакером?
"В CTF играют тысячи людей по всей стране, можем ли мы их всех называть хакерами? Скорее да, их можно назвать белыми хакерами, и многие из них указывают это в своих резюме на различных ресурсах по подбору персонала. Большинство специалистов в ИБ так или иначе пробовали свои силы в хакинге. Такой опыт крайне полезен для последующей защиты информации", — говорит она.