Минцифры предлагает установить государственные тарифы для участников Bug Bounty

#кибербезопасность Минцифры считает необходимым закрепить государственные тарифы на выплаты за участие «белых хакеров» в Bug Bounty, программе по поиску уязвимостей в IT-системах за вознаграждение Сейчас многие федеральные и региональные органы власти используют соответствующую программу, однако пока ее не делают обязательной, как это предлагают некоторые участники рынка Участники рынка приветствуют предложение министерства, но указывают, что заинтересовать программистов работой с госсектором можно будет, только если тарифы на участие в Bug Bounty будут не ниже рыночных Подписаться

Главное — не жадничать Минцифры России рассматривает возможность установления единых государственных тарифов для участников программ Bug Bounty, направленных на выявление уязвимостей в государственных ИТ-системах. ↖

В Минцифры предложили закрепить государственные тарифы за участие в программе Bug Bounty — поиске пентестерами уязвимостей в ИТ-системах за вознаграждение. Сейчас многие федеральные и региональные органы власти уже пользуются этой программой, однако пока процесс идет разрозненно. Чтобы его стандартизировать, как раз и нужна сетка тарифов по федеральным округам и отдельные тарифы для общероссийских сервисов типа "Госуслуг”. За обнаруженные уязвимости в последних выплаты, конечно, должны быть больше. Очевидно, что бизнес может сам устанавливать выплаты в рамках таких программ, но в случае с государственным системами тарифы все же нужно унифицировать. Это, в частности, поможет оправдать доходные ожидания команд, которые участвуют в Bug Bounty, а значит и привлечет к этому процессу большее количество специалистов. Сейчас в России действуют как минимум три платформы для проведения независимых тестов, где проходит более 70 программ публичного тестирования. Притом госсектор – лидер по проведению независимых тестов систем. В этом году, например, пентестеры искали уязвимости на онлайн-портале Московской области «Здоровье». Популярность Bug Bounty очевидно растет, поэтому повышение прозрачности работы таких программ сегодня - обязательный шаг. Как и легализация деятельности пентестеров в России в целом, чем мы сейчас активно занимаемся.

Bug Bounty по госрасценкам: что готовит Минцифры Минцифры рассматривает возможность введения государственных тарифов за участие в программе Bug Bounty. Заместитель министра Александр Шойтов подчеркнул необходимость «нормализации процедуры» для федеральных и региональных органов власти. В ведомстве уточнили, что предложение по введению тарифов находится на стадии проработки. По информации источников, под тарифами понимается регулирование выплат «белым хакерам» за выявленные уязвимости. Обсуждается разработка сетки тарифов по федеральным округам, а для крупных общероссийских сервисов, таких как «Госуслуги», планируется установить отдельные расценки. Так, для критических уязвимостей на уровне федеральных округов предполагаются выплаты от 30 до 50 тысяч рублей, а для общероссийских сервисов сумма может достигать миллиона рублей. #BugBounty #Кибербезопасность #Минцифры #ИнфоБез

Минцифры РФ считает необходимым закрепить государственные тарифы на выплаты за участие «белых хакеров» в Bug Bounty, программе по поиску уязвимостей в IT-системах за вознаграждение. Участники рынка приветствуют предложение министерства, но указывают, что заинтересовать программистов работой с госсектором можно будет, только если тарифы на участие в Bug Bounty будут не ниже рыночных.

Минцифры изучает возможность введения единых тарифов за поиск уязвимостей в государственных ИТ-системах. Участники рынка поддерживают инициативу, но отмечают, что привлечь «белых хакеров» получится, если тарифы будут не ниже рыночных vc.ru/dev/1646374

Минцифры планирует закрепить тарифы для «белых хакеров» в Bug Bounty! Российское Минцифры рассматривает возможность введения государственных тарифов на выплаты «белым хакерам» за их участие в поиске уязвимостей в IT-системах. Замминистра Александр Шойтов поделился этой информацией на SOC Forum 2024, подчеркивая, что такая мера поможет «нормализовать процедуру» Bug Bounty. Участники рынка в целом положительно оценивают введение государственных тарифов. Однако эксперты предупреждают, что фиксированные выплаты должны соответствовать реальной значимости найденных уязвимостей, чтобы не снизить мотивацию «белых хакеров». Работы по масштабированию программы Bug Bounty в госсекторе ведутся с 2022 года, когда кибератаки на российские IT-системы значительно возросли. Минцифры и портал «Госуслуг» стали одними из первых, кто подключился к этой программе. Важным шагом стало внесение Bug Bounty в рейтинг цифровой трансформации госорганов и подготовка законопроекта для регламентации работы «белых хакеров».

Уязвимостям строят тарифные планы В России могут появиться государственные тарифы на работу «белых хакеров». Речь о людях, которые по заказу компании ищут уязвимости в IT-системах. Эта процедура называется Bug Bounty. Теперь ее хотят нормализовать, пишет «Ъ». По данным газеты, в Минцифры обсуждают гостарифы на такие услуги. Органы власти нанимают «белых хакеров» уже сейчас, но пока это необязательное требование. Федор Дбар, коммерческий директор компании «Код Безопасности»: «В целом процедура закупки в госсекторе регламентирована законодательством, и надо проделать определенные действия перед тем, как услугу можно будет оплатить и она будет выполнена. Заказчикам необходимо понимать, почему они покупают что-то именно по такой цене, и с этой точки зрения установление гостарифов существенно сократит время между возникновением необходимости в Bug Bounty и выполнением этой услуги. И в целом я предполагаю, что таким образом пытаются навести определенный порядок в этой области». Игорь Бедеров, гендиректор компании «Интернет-розыск»: «То, что наворотили IT-специалисты, может иметь для бизнеса разный эффект. И оценивать это по одному тарифу в корне неправильно, потому что стимулирование этой отрасли, Bug Bounty, строится на основе того, что тарифы достаточно свободны и открыты. А если люди станут фиксированно получать оплату за одну выявленную уязвимость, они будут мыслить следующим образом: "Вот мы нашли десять уязвимостей, они простейшие, но зато мы получили за них оплату". Исследовать проблему вглубь никто не будет».

Минцифры вводит госрасценки для «белых хакеров»: Теперь за обнаружение уязвимостей в госсистемах награда будет платиться по фиксированному тарифу. Инициатива направлена на унификацию программы Bug Bounty в РФ. По словам замминистра цифр-развития, госорганы активно используют программу, но пока на добровольной основе. Новые тарифы: обсуждаются выплаты от 30 до 50 тысяч рублей за критические уязвимости на региональном уровне и до 1 миллиона рублей для крупнейших сервисов, таких как «Госуслуги». Такой подход якобы повысит безопасность инфраструктуры и даст «белым хакерам» официальный стимул работать с государством. Однако некоторые считают, что такая фиксированная оплата может напрочь снизить любую мотивацию.

Минцифры планирует установить единые тарифы за поиск уязвимостей в государственных ИТ-системах. Участники рынка поддерживают идею, но подчеркивают, что для привлечения «белых хакеров» цены должны быть конкурентоспособными.