В Госдуме обсудили "белых" хакеров, пока они проводили конференцию в Москве
"Белые" или этичные хакеры - это хакеры (бизнес предпочитает их называть специалистами по кибербезопасности), которые занимаются взломом и поиском уязвимостей на сайтах, в информационных системах и программных продуктах с разрешения владельцев.
Участник обсуждения и член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин в своем комментарий для "Российской газеты" отметил, что опасения силовых ведомств связаны с тем, что легализация деятельности "белых" хакеров может одновременно дать больше свободы и неэтичным хакерам, которые ответственны за совершение реальных киберпреступлений.
"Тем не менее, обсуждение по этому вопросу продолжается. Наша позиция заключается в том, что на сегодняшний день "белые" хакеры, зачастую оказываются приравнены к своим неэтичным коллегам. Их деятельность очень легко преподнести в негативном свете, в то время как на деле она крайне важна для обеспечения информационной безопасности российских компаний. Сегодня из-за угрозы уголовной и административной ответственности многие "белые" хакеры предпочитают не заниматься выявлением уязвимостей и пробелов в системах, что могло бы стать превентивным решением ряда проблем - например, можно было бы избежать большого количества утечек данных, от которых пострадали наши граждане", - говорит Немкин.
Сегодня Bug Bounty - это один из самых популярных форматов работы этичных хакеров, в рамках которых они могут получить денежное вознаграждение за нахождение ошибок, уязвимостей, взлом программ, сайтов и информационных систем. В России уже официально работают несколько платформ, на которых можно получить серьезные денежные суммы. Две представлены на сайте "Госуслуг" и награду на них можно получить, в том числе и за найденную уязвимость на самих "Госуслугах", в ЕСИА (единой системе идентификации и аутентификации), а также в информационной инфраструктуре электронного правительства.
Одна из таких платформ - это BI.ZONE Bug Bounty. На ней несколько тысяч "белых хакеров ищут уязвимости в 67 программах ведущих компаний различных отраслей, включая ГК "Астра", Ozon, Хоум Банк, и других.
Вторая платформа - Standoff 365 Bug Bounty от Positive Technologies, где уже зарегистрировались 7 200 человек, сдано 3 300 отчетов и выплачено более 58 млн рублей за найденные уязвимости. Денежные премии на ней предлагают VK, Тинькофф, Wildberries, Rambler & Co и другие компании.
"Способность критически мыслить, смотреть на инфраструктуру и пользоваться нестандартными ходами - все это очень важно при построении ИБ-системы. И "белые" хакеры, как раз могут предложить все это, являясь эффективным инструментом для оценки защищенности, - говорит директор экспертного центра безопасности Positive Technologies Алексей Новиков, - и продолжает. - Это подтверждается тем фактом, что самыми киберустойчивыми и защищенными компаниями, в которых реже всего случаются инциденты, являются те, которые имеют в своем штате так называемые red team команды, которые воспроизводят действий атакующих хакеров в режиме реального времени".
Эксперт также отметил высокую мотивацию "белых" хакеров, так как чем больше уязвимостей они находят, тем больше денег получают.
При использовании Bug Bounty происходит непрерывный анализ защищенности систем, тысячи багхантеров с различными опытом и различным инструментарием постоянно исследуют их безопасность без ограничений по времени. При этом компания платит только за результат, то есть за принятые отчеты с реальными уязвимостями.
При этом, по мнению Антона Немкина уже существующие площадки для работы "белых" хакеров - это хороший шаг на пути к масштабированию их деятельности и перевода ее в законное русло, однако сегодня этого уже недостаточно.
"Пока продолжается противостояние с многочисленными хакерскими группировками, нам нужен серьезный ресурс для того, чтобы защитить данные наших компаний, а особенно граждан, от угроз. Хорошую идею подали и сами "белые" хакеры - нам предложили создать платформу, которая могла бы максимально упростить их взаимодействие с компаниями. Эта система должна проводить их верификацию и определять надежность. После этого хакеры смогли бы размещать сообщения об уязвимостях. Получив соответствующие уведомления, компании должны связываться с хакерами с целью уточнения деталей или же для благодарности", - заявил депутат.