Сергей Колесников, BI.ZONE: Багхантеры должны иметь возможность спокойно заниматься своим делом

В рамках OFFZONE 2022 компания BI.ZONE провела презентацию своей платформы BI.ZONE Bug Bounty. Об отличиях от других программ, функциональности и том, что такое «Bug Bounty по-русски», для Cyber Media рассказал Сергей Колесников, тимлид BI.ZONE Bug Bounty.

Cyber Media: Насколько сложно создать собственную Bug Bounty-платформу?

Сергей Колесников: На начальных этапах работы над платформой мы ориентировались на то, что предстоит конкурировать с мировыми брендами в этой отрасли, компаниями с многолетней успешной историей.

Чтобы получить конкурентное преимущество перед ними, мы сосредоточились на сохранении привычных функций и создании прозрачной работы для компаний и багхантеров: от организации выплат до отслеживания статуса найденной уязвимости.

Российские реалии накладывают свой отпечаток, но мы уделили этой части большое внимание и минимизировали обязательные процедуры: при регистрации багхантер соглашается с договором-офертой, а чтобы получить выплаты необходимо подписать документы электронно. Куда-то ездить, сканировать документы и прочие рутинные процедуры выполнять не нужно, все функции автоматизированы.

Второй аспект тесно связан с экономикой платформы. Мы реализовали для хантеров возможность работать через самозанятость, и получили сразу несколько плюсов:

1. Легальность. Никаких вопросов к самозанятому хантеру быть не может: налоги с его деятельности уплачены, назначение выплаты можно посмотреть в том же приложении «Мой налог».
2. Выгода. Налог для самозанятого, который работает с нами – 6 %.
3. Простота. Как в плане получения и вывода средств, так и в вопросах оформления деятельности, взаимодействия между компаниями и хантерами. Вообще, простота  взаимодействия и доступность – это то, что отличает нас от других.

Каких-то технических сложностей в процессе создания платформы я не могу назвать. У нас хорошая команда разработчиков, многие – сами практикующие хантеры. В работе над платформой на всех этапах было понимание того, какой продукт мы хотим получить в итоге и чем он будет привлекателен для пользователей.

Cyber Media: Кто может подключиться к вашей платформе в качестве багхантера?

Сергей Колесников: Мы уже сейчас работаем с гражданами России и стран ЕАЭС.

Такая локализация имеет свои плюсы: над поиском уязвимостей в продуктах российских компаний работают люди, которые имеют пользовательских опыт взаимодействия с этими программами, понимают их логику и назначение.

Мы исходим из простой парадигмы: багхантеры должны иметь возможность спокойно заниматься своим делом, не оглядываясь на территориальные, экономические или другие факторы.

Cyber Media: Какой функционал ваша платформа предлагает багхантерам?

Сергей Колесников: Назначение платформы – быть независимой площадкой, которая дает достаточный функционал для работы и обладает достаточной экспертизой для разрешения спорных ситуаций.

Относительно функционала – мы не придумали ничего революционно нового, просто взяли лучшие решения из мировой практики и воплотили их в своем продукте. Из интересных фич можно выделить компоновку личной страницы участника – с отображением его достижений, ранжированием найденных уязвимостей и другими данными. Фактически, скрин этого экрана – готовая страница в портфолио специалиста.

Экран с информацией о компаниях, которые участвуют в bounty, мы тоже постарались сделать полезным: на нем можно узнать, как долго организация участвует в программе, сколько денег выплатила за это время. Такая информация важна для хантера при выборе проекта. Помимо этого, мы добавили прямой чат между хантером и компанией, чтобы была возможность вести прямую и эффективную, «горячую» коммуникацию без формализма.

Главное, что мы старались реализовать – это ощущение защищенности как для комьюнити, так и для компаний-клиентов. Доверие особенно важно в актуальных условиях, когда ряд международных площадок в одностороннем порядке разорвали отношения с российскими багхантерами. Чтобы нивелировать этот ущерб, мы, например, предусмотрели возможность «перехода» хантера на наш сервис вместе со всеми регалиями и рейтингом, который он уже успел «набить» на другой площадке.

Мы не предлагаем комьюнити революционно новые решения – все привычно и понятно. Только проще, быстрее и надежнее. Этого должно быть достаточно для эффективной работы.

Cyber Media: А какой функционал предлагается для компаний?

Сергей Колесников: В первую очередь, мы постарались «победить» стереотип о том, что bounty – это только для зрелых, с точки зрения кибербезопасности, компаний. Наша платформа открыта для всех, и мы изначально заложили механизмы для сопровождения новичков. Если компания ни разу не участвовала в bug bounty и пришла впервые – специалисты BI.ZONE и «экскурсию» проведут, и с первыми шагами помогут.

Что касается более зрелых компаний, для них мы подготовили возможность гибко настраивать свою программу. Они сами могут выбрать тип, открытое или закрытое bounty. Во втором случае – могут контролировать количество хантеров и, основываясь на рейтинге, их уровень.

Триаж, то есть оценка найденных уязвимостей, может проводиться как силами специалистов компании, так и с помощью наших сотрудников. Если этим занимаемся мы – то компания получает уже готовые отчеты о проверенных уязвимостях, с рекомендациями по устранению. Сотрудникам компании остается только сопоставить наши выводы со своей инфраструктурой (всей специфики мы, как внешние специалисты, знать не можем) и принять решение.

Большой плюс нашей платформы для бизнеса – это отсутствие проблем с выплатами. Прозрачность и полная легальность этого процесса дает теоретическую возможность поучаствовать в программах тем компаниям, которые ранее не могли этого сделать. Например, представителям государственного сектора.

Cyber Media: Для всех платформ bug bounty, в большей или меньшей степени, актуальны две глобальные проблемы: это появление дублей и неизбежные конфликты между хантером и заказчиком. Как вы планируете их решать?

Сергей Колесников: С дублями все достаточно просто: система автоматически фиксирует первого хантера, который нашел уязвимость, и все «регалии», в том числе и вознаграждение, достаются ему. Эта модель достаточно справедлива и не требует доработки.

Что же касается конфликтов, то да, они неизбежны. Есть огромное количество примеров, когда у хантеров возникали расхождения с заказчиками в части оценки найденной уязвимости и ее стоимости.

В решении этой проблемы мы опираемся на институт репутации. Поскольку комьюнити маленькое, любое негативное действие как со стороны заказчика, так и со стороны хантера, уже завтра станет известно всем участникам сообщества. Соответственно, работать с недобросовестными людьми никто не станет.

Мы же, как модератор, обязуемся прозрачно и беспристрастно разбираться в каждом таком случае. Все участники должны понимать, что финансовые издержки в этой истории не идут ни в какое сравнение с возможными репутационными рисками внутри профессионального сообщества.