Евгений Волошин, BI.ZONE: Практически все компании, которые пришли на багбаунти-платформы, остаются

Евгений Волошин, директор по стратегии BI.ZONE, рассказал порталу Cyber Media о том, как развились российские багбаунти-платформы с момента своего появления, эффективности этого инструмента с точки зрения бизнеса и основных вызовах, которые стоят перед платформами.

Cyber Media: Если говорить о рынке багбаунти в цифрах и фактах, какие достижения вы могли бы отметить за прошедший год?

Евгений Волошин: За последние полтора года рынок багбаунти в России вошел в фазу активного роста. Например, на платформе BI.ZONE Bug Bounty около года назад была всего одна компания. Сегодня их более 20, а программ по поиску уязвимостей — свыше 50.

Значительно выросло и число багхантеров на российских платформах. Год назад, когда мы только запустили BI.ZONE Bug Bounty, на предрегистрацию пришли всего 300 независимых исследователей, а сейчас их больше 4000.

По данным нашей платформы, в среднем каждая десятая найденная уязвимость относится к категории high. Еще 28% обнаруженных багов представляют собой угрозу среднего уровня, а 59% — угрозу низкой степени и информационного уровня, то есть репорты о недочетах, которые не влияют на защищенность. Критическими, то есть самыми опасными, являются 3% найденных уязвимостей.

Выплаты за найденные баги также повысились. Некоторые компании увеличили суммы вознаграждений в два — четыре раза. Отчасти это связано с тем, что большинство уязвимостей низкого или среднего уровня критичности уже найдены. И вендоры стремятся простимулировать исследователей копать как можно глубже и искать сложные для выявления, но потенциально опасные баги.

Cyber Media: Как изменился рынок багбаунти за последний год? Какие события повлияли на эти изменения?

Евгений Волошин: Как я уже говорил, российский рынок багбаунти активно развивается. Конечно, важную роль сыграл уход крупных зарубежных багбаунти-платформ, но это не единственный значимый фактор. По инициативе Минцифры был запущен поиск уязвимостей на «Госуслугах» и в ЕСИА — Единой системе идентификации и аутентификации. 

По сути, государство открыто заявило о своем доверии к российским багбаунти-платформам и этим подало пример бизнесу. Программы оправдали (а в чем-то и превзошли) все ожидания и подтвердили, что инструмент работает по-настоящему эффективно. В результате сегодня все больше компаний из разных отраслей начинают использовать багбаунти для защиты своего бизнеса.

Cyber Media: Если говорить об отраслях и секторах экономики, какие из них проявляют наибольший интерес к багбаунти?

Евгений Волошин: По нашим данным, один из ключевых драйверов рынка багбаунти — компании финансового сектора. На них приходится порядка 37% спроса на услуги багхантеров. В целом этот тренд совпадает с общемировым. На втором месте — ритейл, формирующий 25% спроса, а замыкает тройку лидеров IT-отрасль (19%). Интерес к багбаунти проявляют также поставщики и разработчики различных онлайн-сервисов (13% от общего спроса) и, конечно же, госсектор (6%).

Cyber Media: Ряд российских компаний и в прошлые годы присутствовали на иностранных платформах либо проводили багбаунти самостоятельно. Насколько выросло их количество после открытия российских платформ и какой прогноз вы можете дать на будущее?

Евгений Волошин: Чуть больше года назад на трех отечественных багбаунти-платформах было представлено всего пять компаний. Сегодня их количество выросло в несколько раз — на одной только BI.ZONE Bug Bounty свои программы размещают более 20 организаций. Важно отметить, что практически все компании, которые пришли на багбаунти-платформы, остаются. Они убедились в эффективности такого формата и оценили низкую стоимость обнаружения уязвимостей по сравнению с другими инструментами.

В ближайшие годы спрос на багхантинг будет только увеличиваться. А это, в свою очередь, простимулирует активность независимых исследователей и приведет к росту их числа.

Cyber Media: В контексте импортозамещения часто упоминаются риски, связанные с приходом решений из дружественных или нейтральных стран. Свои платформы багбаунти есть, например, в Индии и Китае. Насколько они составляют конкуренцию российским сейчас и есть ли у них перспективы в этом направлении?

Евгений Волошин: В Индии и Китае действительно есть багбаунти-платформы, но они скорее ориентированы на внутренний рынок и не стремятся продвигать свои услуги в России и СНГ в целом. Вряд ли эта тенденция изменится в ближайшие год или два. При этом багхантеры из Индии и Китая могут участвовать в поиске уязвимостей на российских платформах.