Bug Bounty как конкурентное преимущество

Заместитель министра цифрового развития, связи и массовых коммуникаций Александр Шойтов в выступлении на секции "Устойчивость в BANI-мире: преграды, стратегии и возможности" в ходе SOC-Форума-2023 назвал крайне острой и при этом не имеющей однозначного решения проблему аудита защищенности информационных систем, государственных (ГИС) в том числе. Особенно важно, как подчеркнул замглавы профильного ведомства, будет провести такой аудит для компаний, которые занимаются обслуживанием и сопровождением ГИС, поскольку именно они стали главным слабым звеном, через которые происходят попытки атак и проникновений.

По мнению Александра Шойтова, наилучшим инструментом показали себя программы поиска уязвимостей за вознаграждение (Bug Bounty), однако они должны быть добровольными для участников. Незадолго до начала конференции, 8 ноября 2023 г., Минцифры расширило программу Bug Bounty с одного сервиса до девяти, однако, по мнению источников издания "Коммерсантъ", у федерального правительства нет финансовых и кадровых ресурсов для того, чтобы расширить данную программу на другие ведомства и их подрядчиков.

https://www.comnews.ru/content/230032/2023-11-09/2023-w45/1009/vzlom-bl…

Как заявил управляющий директор и партнер АО "ГК Ядро" (YADRO) Алексей Шелобков, Bug Bounty является важным элементом ИБ-стратегии компании. По его словам, данная программа проводится на постоянной основе и при этом помогает находить уязвимости при минимальном уровне затрат. Главным результатом, как подчеркнул Алексей Шелобков, является повышение доверия как к самой компании, так и к ее продукции, что повышает ее конкурентоспособность. По его мнению, наиболее полезны такие программы для быстрорастущих компаний, таких как YADRO, численность которой за последние два года выросла вчетверо.

Как отметила руководитель департамента сервисных услуг Innostage Екатерина Сюртукова, Bug Bounty, в отличие от тестирования на проникновение, является непрерывным инструментом повышения защищенности, который выводит безопасность на новый уровень. Она напомнила, что участники Bug Bounty получают плату за результат - обнаруженную уязвимость, а не за само тестирование на проникновение, которое к тому же проходит по стандартному сценарию и часто не включает нестандартные атаки, например связанные с физическим проникновением на территорию, или не вполне типовые - например, business e-mail compromatoin.

https://www.comnews.ru/content/230172/2023-11-15/2023-w46/1009/moshenni…

Руководитель Центра противодействия киберугрозам в Innostage CyberART Максим Акимов подчеркнул высокую значимость программ Bug Bounty для компаний, которые наращивают не только численность персонала, но и количество продуктов. В таких условиях, по его словам, Bug Bounty становится полезным инструментом для перестройки процесса разработки новых сервисов и повышения доверия к ним со стороны потенциальных заказчиков.