Главное:
- Минцифры России намерены закрепить государственные тарифы для «белых хакеров» в рамках программы Bug Bounty.
- Введение тарифов направлено на нормализацию процедуры поиска уязвимостей в IT-системах.
- Уже сейчас несколько государственных органов применяют эту программу, но обязательной она пока не является.
Суть инициативы Минцифры
Недавно заместитель министра цифрового развития, связи и массовых коммуникаций Российской Федерации Александр Шойтов сообщил о планах ведомства закрепить государственные тарифы на выплаты «белым хакерам» за участие в программе Bug Bounty. Эта инициатива призвана обеспечить более стабильную и предсказуемую систему вознаграждений для специалистов, которые помогают выявлять уязвимости в государственных IT-инфраструктурах.
На текущий момент многие федеральные и региональные органы власти уже активно используют программу Bug Bounty, которая предполагает вознаграждения за выявление уязвимостей. Однако эта практика пока не является обязательной, и только некоторые участники отрасли предлагают её реализацию на уровне закона. Минцифры ведет активные консультации с другими государственными учреждениями и интересующимися сторонами, чтобы уточнить детали и условия программы.
Позиция рынка и возможные риски
Весьма положительно инициатива воспринимается участниками рынка информационной безопасности. Как отмечает директор центра противодействия кибератакам Solar JSOC Владимир Дрюков, бизнес должен иметь возможность самостоятельно определять тарифы, но для работы с государственными системами это должно быть унифицировано. Тем не менее, существует опасение, что фиксированные выплаты могут привести к снижению мотивации у «белых хакеров». Генеральный директор компании «Интернет-розыск» Игорь Бедеров указывает на важность рынка: если суммы вознаграждений окажутся низкими и не отразят реальной ценности работы, специалисты могут потерять интерес к поиску уязвимостей.
По данным недавнего исследования, участие в программах Bug Bounty значительно снизило количество успешных кибератак на организации, которые внедрили эту практику. Тем не менее, Минцифры должна позаботиться о том, чтобы тарифы были справедливыми и адекватно отражали степень важности уязвимостей.
Перспективы развития Bug Bounty в России
Работы по масштабированию Bug Bounty в государственном секторе ведутся с 2022 года, когда наблюдался значительный рост числа кибератак. Важные шаги в направлении регулирования этой сферы были сделаны в прошлом году, когда программа Bug Bounty была внесена в рейтинг цифровой трансформации госорганов. В декабре 2023 года в Госдуму был представлен законопроект, который призван упорядочить деятельность «белых хакеров».
Введение государственных тарифов может стать важным шагом в формировании устойчивой и эффективной системы взаимодействия между государством и специалистами по информационной безопасности. Это не только повышает уровень защиты критической информационной инфраструктуры страны, но и создает формальные механизмы для привлечения талантливых экспертов в общественную задачу по безопасности в цифровом пространстве.
Добавить комментарий