Компания VK заплатила белым хакерам 37 миллионов за 2022 год

5 декабря 2023 г.

Компания продолжает входить в лидеры по багбаунти среди отечественных ИТ-компаний.

Напомним, что VK — одна из первых российских компаний, которая начала интегрировать работу белых хакеров в инфраструктуру информационной безопасности, изначально предоставив большое количество продуктов собственной экосистемы.

В настоящий момент, после ухода западных вендоров с российского рынка (в том числе HackerOne) компания перешла на отечественные аналоги платформ размещения систем, прежде всего, на The Standoff 365 Bug Bounty, разработанной Positive Technologies. Сейчас на платформе представлено 34 программы компании, в том числе Почта, социальные сети «Вконтакте» и «Одноклассники», а также Облако.

Драйвером развития багбаунти стали продукты Mail.ru. Так, были обнаружены уязвимости в сфере безопасности, а также нарушения общей бизнес-логики. При этом до 70% ошибок было обнаружено в клиентской части. Самое дорогое обнаружение уязвимости обошлось компании в 3 213 000 рублей.

За 2022 год, в котором программа багбаунти начала реализовываться на отечественной платформе, суммарно VK заплатила белым хакерам более 37 млн рублей. При этом стратегическая цель ИТ-компании — обеспечить полноценную интеграцию багхантеров в архитектуру информационной безопасности из-за эффективных результатов подобных программ.

Багбаунти — действенный инструмент обеспечения информационной безопасности, считает член комитета Государственной Думы по информационной политике, информационным технологиям и связи Антон Немкин. «В условиях роста кибератак на бизнес и государство вопрос информационной безопасности стоит особенно остро. Нужно понимать, что одно из преимуществ злоумышленника в том, что он действует вне правил и часто проявляет гибкость, мыслит нестандартно. При этом политика по информационной безопасности многих компаний часто, напротив, выступает монолитной и иногда неповоротливой системой, которая не может проявить ту самую гибкость в попытках обнаружения угроз и своевременного реагирования на них. Поэтому, работу „белых“ хакеров стоит рассматривать как дополнительный инструмент оценки своей собственной защиты, который зачастую показывает эффективные результаты», — считает Антон Немкин.

Сейчас идет активная работа по легализации деятельности «белых» хакеров в РФ. «Напомню, что не так давно мы подготовили пакет законопроектов, направленных на легализацию работы белых хакеров. Предлагается внесение поправок в Уголовный кодекс (УК) РФ, в Гражданский кодекс РФ, а также в федеральный закон „Об информации, информационных технологиях и о защите информации“. Несмотря на то, что работа „белых“ хакеров приносит очевидную пользу, сами хакеры продолжают находиться в уязвимом правовом положении, что недопустимо. При этом такой позиции придерживается и Минцифры, которое запустило второй поток программы багбаунти», — рассказал депутат.

Современная кибербезопасность требует принимать превентивные меры, а не реагировать на уже случившийся инцидент, отметил Антон Немкин. «В настоящий момент информация (в том числе персональные данные) становится основой экономики, что связано с цифровизацией общества. Поэтому наша задача — обеспечить постоянную и непрерывную защиту, основанную на гибкости и самопроверке. Выполнение исключительно регуляторных требований вряд ли позволит добиться эффективных результатов», — заключил парламентарий.

Источник: Пресс-служба депутата ГосДумы РФ Антона Немкина

( )