Тариф «Государственный»: Минцифры введёт госрасценки для «белых хакеров»

Минцифры рассматривает возможность введения «государственных тарифов» за участие в программе Bug Bounty. Об этом на SOC Forum 2024 сообщил заместитель министра цифрового развития Александр Шойтов, пишет Коммерсантъ. По его словам, инициатива направлена на «нормализацию процедуры», и на текущий момент многие федеральные и региональные органы власти используют такую программу, однако она пока не является обязательной, несмотря на предложения ряда участников рынка. Шойтов подчеркнул, что необходимо доказать ее эффективность и уточнить зоны ответственности сторон.



Для введения Bug Bounty как обязательной процедуры ее необходимо нормализовать, в частности ввести государственные тарифы, добавил Шойтов.

В Минцифры уточнили, что предложение по введению тарифов находится на стадии проработки, и пока рано говорить о конкретных мерах или деталях. Представители министерства отметили, что сейчас обсуждаются различные сценарии совместно с другими ведомствами и представителями отрасли.

Работа над масштабированием программы Bug Bounty в госсекторе ведется с 2022 года, когда наблюдалось увеличение кибератак на российские IT-системы, в том числе государственные. Одними из первых участников стали Минцифры и портал «Госуслуг». В декабре 2023 года в Госдуму был внесен первый законопроект, регулирующий деятельность «белых хакеров», а также разработан второй законопроект, направленный на стандартизацию тестирования IT-систем.

Эксперты отмечает, что введение тарифов может сыграть ключевую роль в стандартизации программы Bug Bounty, особенно если она станет обязательной для объектов критической информационной инфраструктуры (КИИ) и государственных органов. Обсуждается разработка сетки тарифов по федеральным округам, а для крупных общероссийских сервисов, таких как «Госуслуги», планируется установить отдельные расценки. Так, для критических уязвимостей на уровне федеральных округов предполагаются выплаты от 30 до 50 тысяч рублей, тогда как для общероссийских сервисов сумма вознаграждений может достигать до миллиона рублей.

Ряд специалистов положительно оценивают введение государственных тарифов, указывая, что при этом унифицируется вопрос оплаты за обнаружение уязвимостей, что особенно актуально для государственных систем, где требуется четкое регулирование. Полагается, что тарифы смогут учитывать не только интересы бизнеса, но и ожидания сторонних команд, которые участвуют в программе Bug Bounty и проводят поиск уязвимостей в инфраструктуре.

Вместе с тем, существуют мнения, что фиксированная цена за обнаружение уязвимостей может снизить мотивацию участников Bug Bounty, если она не будет соответствовать реальным масштабам выявленных проблем и учитывать динамику рынка информационной безопасности, где стоимость подобных услуг остается высокой.

Источник

хоть бы написали что это за Bug Bounty и хотя бы по русски писали, а не по чиновничьи

Главное что б не как Яху "благодарила" где-то в 12г, и не как в ЕС сейчас.
Кстати о последнем, у нас то как-то легализовали деятельность по поиску уязвимостей без найма (в свободном поиске или "открытая награда")? А то награды, наградами, но если ты ее и больше будешь вынужден отдавать на адвоката... совсем же недавно по теме новости были про Ев-пу...

Вот бы так баги в законах искали

Какой смысл от различной технологии безопасности, если как говориться проблема в "человеческом факторе"...

И треснул мир напополам, поднимается накал
И льётся пот , идёт война цифры матрицы добра и зла
И меркнет свет, в тёмных комнатах сидят хакеры
По скрытым улицам поводок для хакеров от госдурки летит.

да и "Этичные хацкеры" только за бабло работают и не всегда правильно(предположение).
хакеры как пираты для народа, и этичные хацкеры как каперы на правительство.

Платим тем, кто создаёт уязвимости, и тем, кто их находит.... Ну, те, кто ими пользуются вроде как на самообеспечении. Сколько рабочих мест! То-то такой спрос на престижный отдых

Opcho писал(а):

да и "Этичные хацкеры" только за бабло работают и не всегда правильно(предположение). хакеры как пираты для народа, и этичные хацкеры как каперы на правительство.

* какая связь между хакерами и народом? и какая между каперами и "белыми"? правильно, никакой
* «Белые» не только за деньги, есть и энтузиасты, однако если вовремя найденная уязвимость предотвратила большие потери, то почему бы не вознаградить? вот только без "широких" жестов вроде Яху - футболка в подарок больше походила на насмешку "работай раб за корочку хлеба", т.ч. пропись тарифов - нормальная мера, одновременно и обеспечение гарантированной оплаты, и условный потолок - мера против "шантажа"
вот только все это будет касаться исключительно контрактников, все остальные так и останутся вне закона, несмотря на предложения "открытой награды" и т.п. - в законах не прописано...

Это вместо тюремных сроков? Ну ок, нужно было лет 15 назад еще делать.

Насколько мне известно, они никому не платят. Из принципа. Очень к этому вопросу принципиальные.

Hibor писал(а):

...А то награды, наградами, но если ты ее и больше будешь вынужден отдавать на адвоката... совсем же недавно по теме новости были про Ев-пу...

Кстати, та же байда со сдачей оружия ) Так, пришел чел сдавать левый ствол, мол, по новостям рассказали, что полиция принимает все и любые пушки на сдачу от жителей, приходите и отдавайте... и вот он пришел, отдал, и его повязали, тк ствол нелегальный
Сидишь и думаешь, прокрутив вышеописанный сценарий в голове после того, как увидел сюжет в новостях: вы там конечно молодцы, что хотите, чтобы население сдавало левые пушки, но слишком уж стремное это дело. Оставлю при себе пока что, рисковать не буду.

Opcho писал(а):

И треснул мир напополам, ...

И треснул мир напополам, Ночной Дозор!

Как вариант, они сначала себя обозначат, а потом за ними будут тщательно наблюдать. Так проще и быстрее их найти, даже силы не надо тратить.