Запустить собственный киберполигон, создав новое комьюнити, могут только крупные компании. Еще один подход усиления
киберзащиты – программы bug bounty – выплата вознаграждений за обнаружение уязвимостей. Компания VK начала
использовать этот инструмент в 2014 году, сообщил Дмитрий Тарадай. «Просто сообщить об уязвимости недостаточно.
Требуется колоссальная работа, чтобы проанализировать эту информацию и устранить слабые места. Для нас это значимый
источник повышения безопасности», — подчеркнул Дмитрий Тарадай.
Таким образом, киберполигоны и программы bug bounty по сути – разные подходы для решения разных задач. В первом
случае цель – в усилении навыков безопасников, во втором – средств защиты.
Эксперты обсудили и вопрос недобросовестности привлекаемых к программам поиска уязвимостей активистов. Модератор
встречи, заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов уточнил, случалось ли спикерам
сталкиваться с хакерами, которые продавали информацию об обнаруженных незащищенных участках инфраструктуры. «Мы знаем
таких вымогателей и блокируем их на всех доступных площадках», – ответил Лука Сафонов.
По мнению Дмитрия Тарадая, каждый специалист сам решает, по какому пути ему идти. «Bug bounty – это не только про
деньги. Это и репутация, и комьюнити. Никто не запретит «черношляпить», но надо понимать, что за этим последует потеря
доверия внутри комьюнити», – сказал он.
Дискуссия прошла в рамках конференции «Цифровая безопасность». Организаторами выступили Комитет по информатизации и
связи Санкт-Петербурга, а также экспертный клуб «ИТ-Диалог».
Поделиться: