Минцифры России предлагает установить единые государственные тарифы для «белых хакеров», участвующих в bug bounty, помогающих выявлять уязвимости в государственных ИТ-системах.
Как отметил заместитель министра цифрового развития Александр Шойтов, подобные программы уже проводят многие госорганы. В настоящее время они являются необязательными. В целях стандартизации процесса предлагается ввести фиксированное государственное вознаграждение за уязвимости, обнаруженные «белыми хакерами».
Министерство обсуждает различные варианты с заинтересованными сторонами. Конкретные детали и мероприятия пока не определены.
Игроки рынка кибербезопасности положительно отреагировали на эту инициативу.
Однако, по их мнению, чтобы заинтересовать специалистов, необходимо установить цены хотя бы на уровне текущих рыночных ставок. Как заявил генеральный директор поисковой компании в Интернете Игорь Бедеров, «белые хакеры» могут потерять мотивацию к поиску уязвимостей, если цена, установленная за их поиск, не будет соответствовать реальному масштабу значимости и не будет отражать динамику рынка.
Напомним, в ноябре 2023 года Минцифры запустил второй этап bug bounty за государственные ресурсы. Размер вознаграждения зависел от критичности обнаруженной уязвимости: от 30 000 рублей за слабую уязвимость до 1 миллиона рублей за критическую уязвимость. В России тоже хотят формализовать деятельность «белых хакеров» и включить их в национальный проект «Экономика данных».
Источник: Коммерсантъ