Bug Bounty как конкурентное преимущество
<p>Заместитель министра цифрового развития, связи и массовых коммуникаций Александр Шойтов в выступлении на секции "Устойчивость в BANI-мире: преграды, стратегии и возможности" в ходе SOC-Форума-2023 назвал крайне острой и при этом не имеющей однозначного решения проблему аудита защищенности информационных систем, государственных (ГИС) в том числе. Особенно важно, как подчеркнул замглавы профильного ведомства, будет провести такой аудит для компаний, которые занимаются обслуживанием и сопровождением ГИС, поскольку именно они стали главным слабым звеном, через которые происходят попытки атак и проникновений.</p> <p>По мнению Александра Шойтова, наилучшим инструментом показали себя программы поиска уязвимостей за вознаграждение (Bug Bounty), однако они должны быть добровольными для участников. Незадолго до начала конференции, 8 ноября 2023 г., Минцифры расширило программу Bug Bounty с одного сервиса до девяти, однако, по мнению источников издания "Коммерсантъ", у федерального правительства нет финансовых и кадровых ресурсов для того, чтобы расширить данную программу на другие ведомства и их подрядчиков.</p> <blockquote class="quote4"> <p>https://www.comnews.ru/content/230032/2023-11-09/2023-w45/1009/vzlom-blago-gosudarstva</p> </blockquote> <p>Как заявил управляющий директор и партнер АО "ГК Ядро" (YADRO) Алексей Шелобков, Bug Bounty является важным элементом ИБ-стратегии компании. По его словам, данная программа проводится на постоянной основе и при этом помогает находить уязвимости при минимальном уровне затрат. Главным результатом, как подчеркнул Алексей Шелобков, является повышение доверия как к самой компании, так и к ее продукции, что повышает ее конкурентоспособность. По его мнению, наиболее полезны такие программы для быстрорастущих компаний, таких как YADRO, численность которой за последние два года выросла вчетверо.</p> <p>Как отметила руководитель департамента сервисных услуг Innostage Екатерина Сюртукова, Bug Bounty, в отличие от тестирования на проникновение, является непрерывным инструментом повышения защищенности, который выводит безопасность на новый уровень. Она напомнила, что участники Bug Bounty получают плату за результат - обнаруженную уязвимость, а не за само тестирование на проникновение, которое к тому же проходит по стандартному сценарию и часто не включает нестандартные атаки, например связанные с физическим проникновением на территорию, или не вполне типовые - например, business e-mail compromatoin.</p> <blockquote class="quote4"> <p>https://www.comnews.ru/content/230172/2023-11-15/2023-w46/1009/moshenniki-massovo-ispolzuyut-lozhnye-akkaunty-rukovoditeley-regulyatora-messendzherakh</p> </blockquote> <p>Руководитель Центра противодействия киберугрозам в Innostage CyberART Максим Акимов подчеркнул высокую значимость программ Bug Bounty для компаний, которые наращивают не только численность персонала, но и количество продуктов. В таких условиях, по его словам, Bug Bounty становится полезным инструментом для перестройки процесса разработки новых сервисов и повышения доверия к ним со стороны потенциальных заказчиков.</p>