Минцифры планирует закрепить государственные тарифы на выплаты за участие «белых хакеров» в Bug Bounty

Российское Минцифры рассматривает возможность закрепить государственные тарифы на выплаты «белым хакерам» за участие в поиске уязвимостей в IT‑системах за вознаграждение, пишет «Коммерсантъ». Об этом сообщил замминистра ведомства Александр Шойтов 6 ноября в рамках SOC Forum 2024.

По словам Шойтова, введение государственных тарифов станет одной из мер, которые направлены на «нормализацию процедуры». Шойтов отметил, что многие федеральные и региональные органы власти уже используют программу Bug Bounty, однако пока не делают ее обязательной, как предлагают некоторые участники рынка.

В Минцифры говорят, что инициатива пока лишь прорабатывается и «говорить о каких‑либо подробностях и конкретных мероприятиях рано». Сейчас министерство обсуждает различные варианты с другими ведомствами и отраслью. Шойтов на форуме пояснил, что в будущем необходимо обосновать эффективность программы Bug Bounty, а также определить зоны ответственности участников тестирования.

Участники рынка оценивают введение государственных тарифов на выплаты положительно, говорят собеседники «Коммерсанта». Директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков отметил, что бизнес сам сможет определять тарифы, однако в работе с государственными системами вопрос тарифообразования должен быть унифицирован. При этом «белые хакеры» могут потерять мотивацию к поиску уязвимостей, если фиксированная цена за их нахождение не будет соответствовать реальному масштабу значимости и не будет отражать динамику рынка, заявил гендиректор компании «Интернет‑розыск» Игорь Бедеров.

Работы по масштабированию программы в госсекторе идут еще с 2022 года, когда значительно выросли кибератаки на российские IT‑системы, в том числе государственные. Одними из первых к Bug Bounty подключились Минцифры и портал «Госуслуг». В августе 2023 года проведение Bug Bounty внесли в рейтинг цифровой трансформации госорганов, а в декабре того же года в Госдуму внесли первый законопроект, который призван регламентировать работу «белых хакеров».