Работа в белую. Российские компании увеличили спрос на багхантеров
Об этом корреспонденту ComNews сообщил руководитель Standoff Bug Bounty Азиз Алимов. Он добавил, что ключевые показатели платформы демонстрируют устойчивый рост год к году: "Количество зарегистрированных пользователей выросло до 38,5 тыс., тогда как на конец 2025 г. оно составляло 32 тыс. - прирост на 20% всего за I квартал 2026 г. Также увеличивается и количество программ: в 2025 г. на площадке было запущено 233 программы - это в 2,2 раза больше, чем годом ранее. Они охватывают широкий спектр отраслей, включая контент-платформы (19%), корпоративные и SaaS-решения (18%), оффлайн-бизнес (14%) и финансовые сервисы (13%). В 2026 г. компании продолжают активно выходить на багбаунти и запускать новые программы, что способствует дальнейшему росту как объема выплат, так и числа исследователей на платформе".
На другой платформе
Помимо Standoff Bug Bounty, в РФ существует и другая популярная платформа для багхантеров - Bi.Zone Bug Bounty. Руководитель этой платформы Андрей Левкин поведал, что рынок багбаунти (программа, в рамках которой компании приглашают независимых исследователей (багхантеров - белых хакеров) для поиска уязвимостей в своих продуктах или системах за вознаграждение - прим. ComNews) в России продолжает активно развиваться.
Он сказал, что с 1 января по 1 мая 2026 г. платформа выплатила независимым исследователям 45 млн руб. за найденные уязвимости: "Это на 87% больше по сравнению с аналогичным периодом 2025 г., когда сумма вознаграждений составила 24 млн руб. С момента запуска Bi.Zone Bug Bounty в 2022 г. исследователям было выплачено 240 млн руб. В 2025 г. на платформе действовало 150 программ - на 50% больше, чем годом ранее. Количество отчетов об уязвимостях достигло 5,8 тыс., а общая сумма выплат независимым исследователям составила 100 млн руб., что на 54% превышает показатель предыдущего года".
Андрей Левкин отметил, что организации все чаще выстраивают безопасность как систему, в которой багбаунти выступает уже общепринятой практикой и одним из ключевых инструментов повышения защищенности внешнего периметра. "Крупные компании и экосистемы масштабируют такие программы поэтапно: сначала размещают основные сервисы и наиболее критичные для бизнеса системы, затем - дочерние структуры", - сказал он.
Андрей Левкин добавил, что за первые полгода работы в 2022 г. независимые исследователи заработали 0,5 млн руб. "В 2023 г. показатель составил 35 млн, в 2024 году вырос до 65 млн, а в 2025 г. достиг 100 млн руб. Сейчас на Bi.Zone Bug Bounty размещены более 70 компаний из разных отраслей. Среди них лидируют ИТ, финтех и госсектор, в связи с высокой цифровизацией и большим количеством пользовательских сервисов. В этих отраслях обрабатываются особо чувствительные данные, а системы регулярно развиваются, поэтому требуется регулярная внешняя проверка безопасности", - подытожил Андрей Левкин.
Внимание, проверка!
Среди крупнейших компаний, кто проводит программу багбаунти, - ООО "ВК" (VK), ООО "Яндекс", ПАО "Группа Астра", ООО "Хэдхантер" (HeadHunter), ООО "Кех Екоммерц" ("Авито"), АО "Таймвэб" (Timeweb), АО "Инфосистемы Джет", АО "Лаборатория Касперского", АО "Альфа-Банк", ПАО "Банк ВТБ", ООО "Интернет Решения" (Ozon), ООО "РВБ" (Russ & Wildberries - RWB).
Представитель пресс-службы VK сообщил корреспонденту ComNews, что Bug Bounty для компании - важный инструмент повышения защищенности компании, в дополнение к другим, например, внешним аудитам безопасности. "Мы видим, что из года в год количество и качество сдаваемых отчетов растет, поэтому растут и выплаты. За прошлый год мы выплатили больше 65 млн руб. белым хакерам. Средний процент полезных отчетов составляет 40%", - сказал представитель пресс-службы VK.
Представитель пресс-службы RWB поведал, что с начала 2026 г. компания выплатила белым хакерам около 3,5 млн руб., а всего с запуска программы RWB в 2023 г. исследователи получили более 18 млн руб.: "В 2025 г. наш бюджет багбаунти вырос по сравнению с 2024 г. втрое. В процесс управления проектами нашей багбаунти-программы входят все внешние ИТ-активы, размещенные в 10 доменах RWB. Мы привлекаем исследователей в том числе для проверки внешних веб-сервисов и API, мобильных приложений, авторизационных и платежных сценариев".
Представитель пресс-службы RWB отметил, что ключевой показатель эффективности - это уязвимости, которые компания устраняет до того, как они могли бы потенциально получить применение в кибератаках. "Помимо количества таких уязвимостей, мы оцениваем время от получения отчета до устранения уязвимости; долю уязвимостей, найденных внешними исследователями, против ошибок, обнаруженных внутренними командами; отсутствие инцидентов, связанных с уже закрытыми классами уязвимостей. Отдельно мы отслеживаем случаи, когда уязвимость могла привести к существенным финансовым или репутационным потерям - это помогает оценивать предотвращенный ущерб и фактический ROI (окупаемость инвестиций)", - пояснил представитель пресс-службы RWB.
Руководитель продуктовой безопасности "Авито" Екатерина Пухарева рассказала, что в 2026 г. видит заметный рост активности независимых исследователей в багбаунти-программе компании": "За I квартал "Авито" получила 276 отчетов об уязвимостях, из которых 95 были приняты. Это уже больше, чем за весь 2025 г., когда было направлено 248 отчетов. По итогам 2025 г. "Авито" выплатил багхантерам 5 млн руб. Для нас багбаунти - это часть системного подхода к информационной безопасности: внешние исследователи помогают находить и закрывать уязвимости до того, как ими могут воспользоваться злоумышленники.
Екатерина Пухарева добавила, что в 2026 г. "Авито" расширил программу багбаунти на ИИ-сервисы и увеличил максимальную выплату за критические уязвимости до 1 млн руб.: "Независимые исследователи смогут тестировать ИИ-решения платформы, включая будущих ассистентов для покупателей и продавцов "Авито" и "Авито Pro". Отдельным направлением программы стал поиск уязвимостей в ИИ-функциях сервисов платформы - например, в генерации описаний, подсказках и автоответах в мессенджере. За ошибки в таких системах исследователи смогут получать вознаграждения по повышенной сетке выплат наравне с уязвимостями в традиционной инфраструктуре".
Мнение экспертов
Директор по маркетингу ООО "Веб3 Технологии" (Web3 Tech) Матвей Войтов считает, что кратный рост количества программ показывает значительное увеличение спроса со стороны бизнеса на проактивные подходы к кибербезопасности: "Это и является ключевым драйвером роста как показателей платформы Positive Technologies, так и альтернативных российских платформ поиска уязвимостей в этом году. Основным фактором интереса к проактивным методам защиты выступает значительное обновление ИТ-ландшафта российских организаций, связанное как с импортозамещением, так и с оптимизацией и локализацией инфраструктуры. Кроме того, некоторые индустрии находятся в условиях дополнительных рисков информационной безопасности, связанных с геополитическим окружением".
В среднем платформы принимают лишь 35-40% от всех сдаваемых отчетов, остальное - дубли, ложные срабатывания и др. Проджект-менеджер ООО "МД Аудит" (MD Audit) Кирилл Левкин считает, что 35–40% - нормальный показатель для открытых программ: "Много дублей и шумовых отчетов неизбежны. Основной путь оптимизации лежит в сегментации и работе с качеством входящего потока. Компании все чаще переходят к гибридной модели: публичная программа для широкого охвата и приватные (invite-only) для топ-исследователей. Это снижает количество дублей и повышает среднее качество находок. Также важно четко описывать план, масштаб и правила, внедрять автоматизированную дедупликацию и тираж, а в ряде случаев и использовать предварительную фильтрацию через платформу. Работа с топ-исследователями стала ключевым фактором: их действительно приглашают в закрытые программы, дают расширенный доступ и более высокие выплаты. Это превращает багбаунти из массового краудсорсинга в управляемый инструмент поиска сложных уязвимостей".
