Российские компании в 2025 г. выплатили белым хакерам 100 млн руб.

ООО "Бизон" (BI.Zone) представило итоги за 2025 г. на платформе по поиску уязвимостей BI.ZONE Bug Bounty. Наиболее заметную динамику на платформе показали компании из сферы онлайн-услуг - количество новых программ выросло в два раза по сравнению с 2024 г.

На BI.ZONE Bug Bounty размещено почти 150 программ. Как и годом ранее, в 2025 г. ИТ-сектор демонстрировал устойчивый рост на платформе. ПАО "Сбербанк" запустило программы Sber Anti-Fraud и Sber IoT. "Группа Астра" расширила программу: на платформе пять продуктов компании.

Госсектор также продолжает выходить на платформу. Специалисты BI.ZONE Bug Bounty отметили общий тренд на укрепление защищенности государственных сервисов, которые ежедневно используют миллионы граждан. В 2025 г. Министерство цифрового развития, связи и массовых коммуникаций РФ запустило новый этап по выявлению уязвимостей. Программы разместили Камчатский и Пермский края, Тюменская и Новосибирская области. Тульская область добавила новые сервисы.

Страховые компании расширяют программы. Осенью АО "СОГАЗ" увеличило область тестирования, добавив в программу ресурсы дочерней компании.

"В 2025 г. мы отчетливо увидели рост интереса к платформе со стороны компаний из сферы онлайн-услуг и ИТ-сектора. Для организаций с большим количеством веб-ресурсов Bug Bounty становится эффективным способом проверить устойчивость продуктов в условиях быстрого развития и регулярных обновлений. Такая динамика - сигнал для нас продолжать активно развивать платформу, размещать новые программы и расширять возможности как для заказчиков, так и для исследовательского сообщества", - сказал руководитель продукта BI.ZONE Bug Bounty Андрей Левкин.

Ранее самой быстрорастущей отраслью на платформе был финтех. Это одна из наиболее цифровизированных сфер, где компании активно внедряют инструменты защиты и запускают внешние проверки безопасности. Большинство крупных игроков уже запустили программы, а теперь сфокусированы на расширении скоупа и работе с исследователями. В марте ПАО "Московский кредитный банк" запустило публичную программу, а в декабре ПАО "Альфа-Банк" увеличило область тестирования.

Комментарии экспертов

Независимый исследователь и автор блога "Культ Безопасности" Валерий Иванов сообщил корреспонденту ComNews, что рынок Bug Bounty в денежном выражении занимает крошечный процент как по отношению к рынку информационной безопасности (ИБ) в целом, так и по отношению к рынку услуг по анализу защищенности.

"Важно, что рынок непрерывно растет как с точки зрения сумм выплат, так и с точки зрения количества валидных отчетов и количества Bug-Bounty-программ. Прогноз на 2026 г. напрямую зависит от изменений в регуляторике. Если изменений не будет или они окажутся мягкими, рост рынка сохранится, но его темпы замедлятся. При этом мы с большой долей вероятности увидим новый рекорд по максимальной выплате", - сказал Валерий Иванов.

Также он отметил, что поэтапный выход на Bug Bounty - наиболее распространенная практика. "В противном случае велика вероятность, что компания в день запуска не просто исчерпает бюджет на Bug Bounty, но и существенно превысит его. В результате программа закроется или встанет на длительную паузу, а заказчик не получит ожидаемой пользы. Поэтому выход на Bug Bounty происходит поэтапно и, как правило, начинается с закрытых программ и тестирования наиболее зрелых с точки зрения ИБ элементов инфраструктуры", - пояснил Валерий Иванов.

Он считает, что разрыв в темпах роста между онлайн-услугами и финтехом - локальный тренд. "Финтех, по сравнению с онлайн-услугами, живет в других темпах из-за регуляторики и сложности внутренних процессов. Это не вопрос зрелости или бюджетов. Например, у банков они одни из самых больших. Разрыв в темпах роста - локальный тренд, который сгладится на дистанции", - сказал Валерий Иванов.

Он добавил, что исследователей в стране мало, и зрелые компании активно за них конкурируют, например, повышают выплаты, мотивируют на поиск конкретных уязвимостей, проводят различные ивенты и промокампании.

"Важно отметить, что сумма выплат - не единственный инструмент привлечения. Многие исследователи рассматривают Bug Bounty как негарантированный способ заработка или формат досуга, поэтому предпочитают хантить там, где комфортно - с точки зрения отношения триажа и других аспектов", - отметил Валерий Иванов.

Руководитель Standoff Bug Bounty Азиз Алимов сообщил корреспонденту ComNews, что для российского рынка это уже значимая и показательная цифра, особенно с учетом того, что рынок Bug Bounty находится в стадии формирования. По итогам 2025 г. на платформе Standoff Bug Bounty выплачено более 160 млн руб. - это рост на 49% по сравнению с 2024 г.

"Мы видим устойчивую тенденцию к увеличению количества программ и объема выплат, поэтому ожидаем, что в 2026 г. суммарные выплаты могут превысить 230 млн руб. С учетом того, что доля компаний, использующих Bug Bounty, по-прежнему невелика относительно общего количества организаций, потенциал роста остается очень высоким. В целом российский рынок Bug Bounty демонстрирует устойчивую динамику роста. При сохраняющейся тенденции расширения количества программ и вовлеченности компаний рынок поиска уязвимостей за вознаграждение может составить 1 млрд руб. в ближайшие три года. Это отражает не только рост объемов выплат, но и формирование более зрелой модели краудсорс-безопасности на рынке", - сказал Азиз Алимов.

Он отметил, что такой поэтапный подход является обоснованным, а не запаздывающим. "Практика показывает, что на старте ключевыми вызовами становятся триаж, нагрузка на команды и финансовое планирование. Запуск программы сначала на критичных активах позволяет отработать процессы в контролируемом масштабе и снизить операционные риски. Важно, что Bug Bounty не заменяет базовые меры защиты: дочерние структуры, как правило, уже покрыты внутренними контролями и аудитами. Масштабирование после обкатки на ключевых системах дает больший эффект, чем попытка охватить весь периметр сразу, при этом каждая программа требует индивидуального подхода с учетом связности и критичности активов", - пояснил Азиз Алимов.

Как считает Азиз Алимов, рост сферы онлайн-услуг - это в меньшей степени вопрос бюджета и в большей - зрелости и профиля рисков. "Финансовый сектор традиционно обладает высокой зрелостью ИБ-процессов и давно использует Bug Bounty как дополнение к другим механизмам контроля, поэтому рост там более сдержанный. Онлайн-сервисы, напротив, активно догоняют: у них быстро меняющаяся бизнес-логика, массовое пользовательское взаимодействие и широкая поверхность атаки. Рост вовлеченности отрасли отражает то, что онлайн-услуги самостоятельно пришли к необходимости Bug Bounty, столкнувшись с реальными угрозами и инцидентами", - добавил Азиз Алимов.

Также он сообщил, что на Standoff Bug Bounty средняя выплата за принятую уязвимость в 2025 г. составила 65 тыс. руб., что на 12% больше, чем в 2024 г. "Это конкурентный уровень для российского рынка и базовая мотивация для широкого круга исследователей. При этом мы ожидаем дальнейший рост среднего чека, поскольку компании все чаще ориентируются на более сложные и критичные уязвимости и конкурируют за сильных специалистов", - отметил Азиз Алимов.

Ведущий инженер-аналитик аналитического центра кибербезопасности "Газинформсервис" Максим Федосенко сообщил, что 100 млн руб. - космическая сумма для одного специалиста, занимающегося багхантингом, очень приличная сумма на услуги багхантинга в рамках одной компании и вполне обоснованная сумма на целую отрасль багхантинга.

"Данная сумма на багхантинг в 2025 г. вполне оправданна, если рассмотреть ее со стороны соотношения к выявленным и впоследствии закрытым уязвимостям безопасности, поскольку возможный ущерб от успешной реализации выложенных на багхант уязвимостей безопасности злоумышленниками был бы в разы больше. Что касается прогнозов на 2026 г., то предполагаю, что объем выплат будет примерно таким же или немного больше в силу постепенного развития и внедрения в процессы компаний интеллектуальных технологий, имеющих специфические уязвимости, которые нужно выявлять, тестировать и устранять", - сказал Максим Федосенко.

"Я считаю, что данный подход полностью оправдан. Чаще всего именно ключевые ресурсы являются главной целью злоумышленников и требуют более приоритетного внимания со стороны обнаружения и закрытия уязвимостей в безопасности. Также не стоит забывать, что основные изменения, улучшения и внедрения ИТ-систем чаще идут от ключевых ресурсов к "дочкам", а не наоборот. Отсюда все выявленные на багхантинге уязвимости в безопасности на ключевых ресурсах также будут выявлены и для "дочек". Однако если есть возможность решать вопрос выставления ИТ-компонентов на багхантинг одновременно как для ключевых ресурсов, так и для "дочек", то лучше ими заниматься параллельно, но тут стоит учитывать, что это будет сложнее в реализации и дороже в стоимости", - пояснил Максим Федосенко.

"По большей части причиной опережения онлайн-услугами финтеха является именно зрелость отрасли, поскольку сама тенденция говорит о том, что все больше и больше компаний из сферы онлайн-услуг начинают и продолжают использовать услуги багхантинга. Но про бюджеты на кибербезопасность и их разницу тоже не стоит забывать. Если бюджета будет недостаточно, то и интенсивного развития отрасли багхантинга тоже не будет. Таким образом, ответ на вопрос заключается как в зрелости отрасли багхантинга, так и в разнице бюджетов, но с весомым упором на то, что в 2025 г. развитие багхантинга было действительно ощутимым", - отметил Максим Федосенко.

Также, говоря о размере вознаграждений, он подчеркнул, что все зависит от уязвимостей, выставленных и обнаруженных в рамках багхантинга, количества участников в процессе выявления, сложности и времени, затраченного специалистом на их выявление, стоимости и положения компании на рынке и многих других факторов.

"Если говорить в общем, то за выявление типовой уязвимости (CVE/CWE) методами автоматического сканирования одним специалистом это очень хорошая сумма. Однако за обнаружение уязвимости в алгоритмах шифрования, используемых в каком-либо мессенджере, командой исследователей - это очень маленькая сумма. Данные примеры представляют два вида крайностей, но если говорить про усредненный заказ на багхантинг, то, с одной стороны, это не очень большая сумма, с другой - 17 тыс. руб. является усредненным вознаграждением от всех заказов на багхантинге. С третьей стороны, раз багхантинг развивается и специалисты работают в данной отрасли, то вознаграждения являются целесообразными", - сказал Максим Федосенко.

Ведущий специалист отдела по работе с уязвимостями ООО "Бастион" Сергей Зыбнев сообщил, что 100 млн руб. за 5,8 тыс. отчетов - скромный, но позитивный сигнал для российского рынка Bug Bounty.

"Динамика роста количества программ, особенно в онлайн-формате, говорит о том, что компании начинают воспринимать Bug Bounty не как PR-инструмент, а как реальный элемент проактивной защиты. Бюджет в 100 млн руб. - это не потолок, а база. Если текущая динамика роста платформ и цен сохранится, то в 2026 г. мы сможем увидеть 150-180 млн руб. Основные драйверы развития: обязательные требования регуляторов к финтеху и госсектору, импортозамещение в ИБ. Это подталкивает компании искать альтернативы западным пентестам", - сказал Сергей Зыбнев.

Также он отметил, что, с точки зрения риск-менеджмента, логично сначала защищать критичные активы, а потом периферию. "Однако это работает, только если у бизнеса нет общей инфраструктуры. Реальность такова, что дочерняя компания, на первый взгляд с неважным веб-порталом, может быть входной точкой в корпоративную сеть через общую AD, защищенный туннель или облачную инфраструктуру. Например, багхантер находит RCE на неприоритетном сайте дочерней структуры, через него получает доступ к внутренней сети и дальше - pivoting до главных систем. Для атакующего разделение на главное и дочернее - это просто список целей с разным уровнем защиты", - пояснил Сергей Зыбнев.

Независимый исследователь и основатель платформы BugBounty.Ru Лука Сафонов сообщил, что 100 млн руб. - не так много, а до зарубежных цен и рынка еще расти и расти. Он привел пример выплаты в $25 млн за две XSS-уязвимости на зарубежном рынке, но с оговоркой, что это затрагивает 1 млрд пользователей и доказан импакт.

"Оценка риска и ущерба, приоритизация команд дефектовки, AppSec и SRE/DevOps - все считают деньги. Также многое зависит от зрелости ИБ и развития защиты", - отметил Лука Сафонов.

"Финтех исторически много занимался безопасностью. А онлайн - это прямые потери от возможных злоумышленников здесь и сейчас. Плюс регуляторика, штрафы за утечки и репутация", - пояснил Лука Сафонов.

"Средние выплаты низкие, но это, как правило, зависит от большого количества некритичных багов, которых большинство, но и у многих компаний не очень высокие вилки по выплатам", - сказал Лука Сафонов.

Андрей Левкин также сообщил, что платформа продолжает развиваться, например, увеличивается количество отчетов, программ, сумма выплат. "Мы прогнозируем, что объем выплат в этом году увеличится на 30%", - сказал Андрей Левкин.

"Компании выходят на платформу постепенно: сначала в приватном режиме, далее - в публичном, постепенно увеличивая количество ресурсов. Это позволяет командам оценить сам инструмент, выстроить процессы по Bug Bounty внутри компании, оценить объем получаемых отчетов и скорость их обработки. Для многих российских компаний Bug Bounty является новым инструментом, поэтому сначала на платформу выводят наиболее критичные и зрелые ресурсы, чтобы далее применить сформированный подход к остальным сервисам", - добавил Андрей Левкин.

Он уточнил, что средний размер выплаты на платформе составляет 40 тыс. руб. "Компании привлекают внимание исследователей к программам через расширение скоупа, различные акции, повышение выплат, а также через участие в различных ивентах. К примеру, мы проводим закрытое мероприятие Bugs Zone, где собираем лучших исследователей и представителей компаний. Это возможность для неформального общения, обмена опытом и обратной связи", - отметил Андрей Левкин.