В России ведутся переговоры о запуске платформы для «белых хакеров», которые ищут уязвимости в системах и продуктах и получают за это вознаграждение. Платформу могут реализовать на базе Национального киберполигона, созданного «Ростелекомом». Его представитель сообщил об этом «Известиям». Обсуждение инициативы подтвердили в Минцифры. Услугами «белых хакеров» уже пользуется «Тинькофф», в МКБ, ПСБ и «Хоум Кредите» заинтересованы обратиться к ним в перспективе, сообщили «Известиям» в кредитных организациях.
На белой стороне
Платформа для «белых хакеров», о создании которой сейчас идут переговоры, будет аналогична ресурсу HackerOne, заявил «Известиям» вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов. HackerOne — одна из первых компаний, которая стала использовать хакеров в своей бизнес-модели: они ищут уязвимости, а бизнес платит за найденные пробелы в безопасности. С компанией сотрудничают в том числе Twitter, Slack, Adobe, Yahoo!, LinkedIn, Airbnb. Платформа работает по принципу bug bounty — «награда за ошибку».
Предполагается, что аналогичный российский ресурс будет развернут на базе Национального киберполигона, созданного «Ростелекомом» по поручению Минцифры в рамках исполнения программы «Цифровая экономика», сообщил Игорь Ляпунов. Он пояснил, что сейчас полигон дает широкие возможности для проведения киберучений. В контуре проекта можно создавать цифровые двойники крупных информационных систем или целых организаций и затем проверять их уровень безопасности, пояснил Игорь Ляпунов, отметив, что инфраструктура проекта состоит из отраслевых сегментов, в том числе банковского.
— Сейчас для проведения bug bounty банки так или иначе вынуждены пользоваться HackerOne. Участие в программах по поиску уязвимостей — это действительно правильная и полезная практика, которая позволяет своевременно выявить слабые места в защите и существенно повысить уровень реальной безопасности. Но, без сомнения, правильнее разработать для нее отечественную платформу, чтобы не отдавать чувствительную информацию иностранной компании, — рассказал вице-президент «Ростелекома».
Инициатива создания аналогичной российской площадки находится на этапе обсуждения — оценивать ее преждевременно, заявили «Известиям» в Минцифры, добавив, что предложения представителей отраслей будут рассмотрены в рабочем порядке. В ЦБ сказали, что финансовая система обеспечена защитой на уровне, адекватном серьезности угроз. Совершенствование системы безопасности проводится постоянно, подчеркнули в регуляторе.
В HackerOne сообщили «Известиям», что не могут делиться деталями взаимодействия с клиентами без их согласия. В компании напомнили, что к 2020 году российская Mail.ru Group заплатила «белым хакерам» более $1 млн в качестве вознаграждения.
«Известия» спросили крупнейшие банки, используют ли они программы «награда за ошибку». «Тинькофф» запустил программу bug-bounty, направленную на поиск и предотвращение уязвимостей в сервисах, в 2016 году, рассказал директор департамента информационной безопасности банка Дмитрий Гадарь. В марте 2021 года «Тинькофф» подключился к платформе HackerOne. Банк совместно с другими игроками рынка принимает активное участие в разработке российского аналога HackerOne на базе «Ростелекома».
— Отечественный аналог платформы станет техническим бустером для поднятия защищенности российской банковской инфраструктуры. Российская версия платформы откроет доступ к экспертизе «белых хакеров» тем компаниям, которым юридически сложно использовать зарубежную площадку, — считает Дмитрий Гадарь.
Тормоз недоверия
Использовать HackerOne уже в следующем году планируют в МКБ. В банке «Хоум Кредит» рассматривают возможность применения программы «награда за ошибку». В ПСБ сообщили, что при появлении национального сервиса воспользуются его услугами. Эффективность соответствующих услуг сопоставима с работой тысячи хакеров, оценил директор департамента информбезопасности МКБ Вячеслав Касимов: они отлично справляются с уязвимостями, которые может пропустить внутренний контроль компаний.
С другой стороны, работа с «белыми хакерами» предполагает слабый контроль методов и инструментов, а также сокрытие реальных данных об участниках подобных процедур, отметил замначальника департамента защиты информации Газпромбанка Алексей Плешков. Он добавил, что вознаграждение всегда остается лишь формальной причиной участия в исследовании, тогда как реальная стоимость найденных уязвимостей на черном рынке может существенно превышать гонорар. Хакеры могут в дальнейшем перепродавать инструменты взлома инфраструктуры после ее ввода в промышленную эксплуатацию, опасается специалист.
В целом идея создания Национального киберполигона относительно новая, она требует дополнительного обсуждения и детальной проработки с кредитными организациями, отметили в Росбанке, добавив, что в любом случае приветствуют инициативы, нацеленные на повышение защищенности различных секторов экономики от кибератак.
Финансовые организации до сих пор очень консервативны и редко используют публичные программы по принципу «награда за ошибку» — таких игроков на российском рынке только несколько, знает руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин. По его словам, большим спросом пользуются услуги консалтинговых компаний по проверке критически важных приложений, таких как онлайн-банк. Еще один способ проверить безопасность — участие в киберполигонах, в ходе которых сразу несколько организаций интегрируют свои системы на специальную платформу, где десятки исследователей ищут в них уязвимости, рассказал эксперт.
Наиболее эффективен комплексный подход к защите систем, убеждена эксперт лаборатории практического анализа защищенности компании «Инфосистемы Джет» Ирина Беляева. При этом она не видит рисков в использовании российскими банками зарубежных платформ, ведь у каждой из них есть правила и компании устанавливают ограничения для исследователей. По ожиданиям эксперта, если платформу для «белых хакеров» запустят на базе Национального киберполигона, российские банки будут больше доверять этому принципу, ожидает эксперт.