МОСКВА, 5 янв — ПРАЙМ. Positive Technologies планирует в мае 2022 года запустить в России платформу, которая станет агрегатором программ для "этичных хакеров" по поиску уязвимостей — bug bounty. В рамках подобных программ хакеры получают от компаний вознаграждение за найденные в их IT-сетях, системах и приложениях уязвимости. Это поможет привлечь высококвалифицированных специалистов, рассказала "Прайм" менеджер по развитию бизнеса Angara Security Анна Михайлова.
По ее словам, деятельность этичного хакера — законная форма взлома. Это тестирование новых программ на корректность выполнения ими заявленных функций. Этичный хакер не использует найденные уязвимости во вред компании, его цель — обнаружение бреши и оповещение разработчиков о ней для ее закрытия.
"В России уже существует агрегатор Bug Bounty. Однако новая платформа позволит активнее привлекать в нее специалистов с ограниченным знанием английского языка и юридических аспектов глобальных программ", — рассказала Михайлова.
Основная сложность в данном сервисе, по ее словам, — обеспечение качественного обмена ценностями между его участниками, то есть фактически модерация. В функции агрегатора входят: экспертиза валидности найденной уязвимости, контроль за выполнением правил обеими сторонами, этичностью процесса и политикой ответственного раскрытия.
Скорее всего, потребуется выработка четких и открытых критериев оценки, в том числе, возможно, их соотнесение с общепринятыми методологиями, такими как информационные базы способов кибератак (MITRE ATT&CK, OWASP и другие). Кроме того, по мнению эксперта, агрегатор будет интересен именно российскому сегменту сети Интернет, поэтому второй сложной задачей для владельцев сервиса будет обеспечение массовости участия в ней заинтересованных компаний.