Вслед за рассмотрением законопроекта, призванного легализовать деятельность «белых хакеров», Минцифры решило разработать систему «государственных тарифов» за участие в программе Bug Bounty, созданной для поиска уязвимостей в IT-системах за вознаграждение.
— Сейчас многие федеральные и региональные органы власти используют соответствующую программу, однако пока ее не делают обязательной, как это предлагают некоторые участники рынка, — цитирует «Коммерсант» замминистра Минцифры Александра Шойтова. — В частности, еще необходимо обосновать ее эффективность, а также определить зоны ответственности участников тестирования.
Чтобы сделать Bug Bounty обязательной процедурой, необходимо в числе прочего ввести государственные тарифы оплаты «белым хакерам» за найденные в сети уязвимости.
Законопроект еще находится на стадии доработки. В министерстве уточнили, что обсуждают различные варианты с ведомствами и отраслью.
Генеральный директор ООО «Дата Ист» Вячеслав Ананьев считает вмешательство государства в тарификацию излишней:
— Категорически против вмешательства государства в рыночно-технологичные отношения. Как правила, все подобные начинания заканчивались в лучшем случае ничем. Готовить инструменты должен сам рынок, а вот задавать направление, выставляя флажки, как раз должны законодатели.
Добавим, в рамках программы Bug Bounty компании платят «белым хакерам» за обнаружение проблем в их программном обеспечении, продукте или инфраструктуре. Участников программы называют охотниками за ошибками. В обмен на поиск уязвимостей они получают денежные вознаграждения, признание или другие виды вознаграждений в зависимости от серьезности найденных багов. При этом, выплаты за обнаруженные ошибки могут составлять от нескольких тысяч до миллионов долларов в зависимости от компании.
В нашей стране работа по внедрению в госсекторе программы Bug Bounty началась в 2022 году. Первыми к программе подключились Минцифры и портал «Госуслуг». В декабре 2023 года в Госдуму внесли первый законопроект, призванный регламентировать деятельность «белых хакеров», тогда же велась разработка второго проекта, который должен был стандартизировать тестирование информсистем. В августе 2023 года проведение Bug Bounty включили в рейтинг цифровой трансформации госорганов.
Ранее стало известно, что законопроект, призванный легализовать деятельность независимых специалистов по информационной безопасности, прошел первое чтение в Госдуме. Авторами проекта выступили представители проекта «Цифровая Россия» Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев.