Сегодня на платформе 34 компании и 78 программ по поиску уязвимостей, а общая сумма выплат независимым исследователям — более 60 миллионов рублей.
За последний год одними из драйверов российского рынка багбаунти стали финтех и госсектор. На BI.ZONE Bug Bounty более чем в 3 раза увеличилось количество компаний из финансовой отрасли. 5 банков из топ‑10 «Банки.ру» разместили программы на платформе. В 6 раз выросло число программ от госсектора. На BI.ZONE Bug Bounty запустили первую в стране программу по поиску уязвимостей в инфраструктуре субъекта РФ — Ленинградской области.
На платформу выходят все больше компаний из ритейла и IT‑сектора, а также онлайн‑сервисы. Это связано с высокой скоростью цифровизации и темпами разработки новых решений в перечисленных сегментах, общим трендом на безопасную разработку, а также пониманием значительных финансовых и репутационных рисков для компаний в случае успешной кибератаки.
Багбаунти как инструмент анализа защищенности внешнего периметра становится все более востребованным со стороны компаний. За год на нашей платформе в 2 раза увеличилось количество компаний и в 1,5 раза — программ. Мы также отмечаем тренд: экосистемы и группы компаний все активнее пользуются багбаунти. Яркий пример — запуск сразу 3 публичных программ от экосистемы Сбера, а также программы от «Группы Астра» для исследования
ОС Astra Linux Special Edition и платформы
VMmanager.
Мы активно развиваем нашу платформу: в этом году обновили ее, ввели прогрессивную шкалу выплат, совместно с Республикой Татарстан первыми в России запустили публичную программу информирования об уязвимостях, а также регулярно проводим мероприятия для исследователей.
Евгений Волошин
Директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE
За последний год на BI.ZONE Bug Bounty более чем в 1,5 раза возросло количество отчетов от независимых исследователей. При этом каждая шестая обнаруженная уязвимость относилась к уровню high и critical.
Компании активно привлекают багхантеров к программам, расширяя скоуп и повышая размеры вознаграждений. За последний год на платформе почти в 3 раза увеличились выплаты: их общая сумма составила 45 миллионов рублей, а за уязвимости уровня high и critical заплатили 28 миллионов рублей.
Очевидно, что кратное увеличение количества программ на платформе BI.ZONE Bug Bounty демонстрирует возрастающий интерес у все большего числа компаний к такому инструменту обеспечения безопасности, как багбаунти. Вместе с этим, учитывая острый дефицит кадров на рынке кибербезопасности, компаниям придется серьезно конкурировать за возможность привлечения наиболее квалифицированных исследователей к своим программам. Мы уверены, что развитие багбаунти в России должно сопровождаться не только популяризацией среди компаний, но и постоянным привлечением, обучением и подготовкой новых исследователей.
Сергей Крайнов
Начальник управления экспертизы кибербезопасности, Сбер
По нашему опыту багбаунти — эффективный способ выявления реальных проблем безопасности. Креативный подход исследователей позволяет нам увидеть неочевидные векторы атак, за что мы им очень признательны. Мы считаем, что публичная программа багбаунти — обязательный этап проверки системного ПО и в первую очередь механизмов защиты.
Роман Мылицын
Руководитель направления перспективных исследований и инновационных проектов, «Группа Астра»