Глава ИБ-департамента Минцифры Владимир Бенгин – о привлечении хакеров для поиска «дыр» в ИТ-системах государства
В России растёт интерес к программам Bug Bounty – привлечению «белых хакеров» для тестирования программного обеспечения на уязвимости за вознаграждение. Пока к этой практике прибегает преимущественно крупный бизнес, сильно зависимый от надежности работы собственного программного обеспечения, а также софтверные вендоры, но в Минцифры видят большие перспективы применения Bug Bounty для повышения защищённости информационной инфраструктуры госсектора и госкомпаний. Директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин в интервью TAdviser в рамках BIS Summit 2022 в сентябре 2022 года рассказал о предпринимаемых шагах с целью максимального распространения Bug Bounty.
Бенгин
В последние годы всё больше организаций в России прибегают к практике Bug Bounty для поиска уязвимостей в своих ИТ-системах. Как вы считаете, с чем связан рост интереса, и может ли в России в дальнейшем сложиться довольно крупный по российским меркам рынок услуг в этой области?
Владимир Бенгин: Организации находятся в постоянном поиске наиболее эффективных механизмов контроля уровня защищенности собственных информационных ресурсов. Рост интереса к программам Bug Bounty связан с тем, что они представляют собой один из наиболее результативных механизмов поиска и верификации уязвимостей.
При этом внедрение программ Bug Bounty в организации может показать эффективность только в случае реализации всего объема практик применения средств и методов по обеспечению информационной безопасности.
По вашему мнению, может ли практика Bug Bounty заменить собой ряд традиционных технологических решений ИБ?
Владимир Бенгин: Мировая практика и принятый подход показывают, что программы Bug Bounty - еще один слой в многоуровневой модели информационной безопасности. Поэтому данную услугу стоит рассматривать лишь как дополнительный механизм обеспечения информационной безопасности, а не как замену одному из классов решений в области ИБ.
Как мы понимаем, пока к услугам «белых» хакеров в России прибегают преимущественно коммерческие структуры. Какого рода компаниям наиболее интересны такие услуги?
Владимир Бенгин: К настоящему моменту в России сложилась широкая практика обращения к услугам «белых» хакеров как среди коммерческих организаций, так и в государственных структурах. К примеру, регулярное проведение мероприятий по анализу защищенности (пентест), которые, по сути, представляют из себя те же услуги «белых» хакеров, закреплено в нормативно-методических документах Банка России и ФСТЭК России. Поэтому подобные услуги востребованы и среди органов государственной власти - владельцев государственных информационных систем, а также госкомпаний.
Как вы оцениваете интерес к программам Bug Bounty и их перспективы, и возможности в госсекторе, госкомпаниях, на объектах КИИ? Могли бы услуги «белых хакеров» использоваться в этих сегментах, как расширение процессов управления уязвимостями в дополнение к сканерам безопасности и периодическим пентестам?
Владимир Бенгин: Интерес к программам Bug Bounty оцениваем, как очень высокий. Минцифры России прорабатывает вопрос внедрения практики применения программ Bug Bounty для всех владельцев государственных информационных систем. Рассчитываем, что в дальнейшем это должно стать примером и для госкомпаний, таким образом расширив область применения подобных услуг. Безусловно, услуги «белых хакеров» могут использоваться в этих сегментах как расширение процессов управления уязвимостями в дополнение к сканерам безопасности и периодическим пентестам.
Какие, по вашей оценке, сейчас есть законодательные/нормативные барьеры для применения практики Bug Bounty в госсекторе, госкомпаниях, на объектах КИИ? В чём сейчас основные юридические риски для заказчиков таких услуг и для исполнителей?
Владимир Бенгин: Основным барьером к применению услуг Bug Bounty сегодня является отсутствие практики Bug Bounty. Очень близкая как с точки зрения правовой оценки, так и с точки зрения конечного результата, к Bug Bounty услуга по анализу защищенности (пентест), отличающаяся, по сути, лишь моделью платежа, применяется повсеместно, в том числе в рамках государственных контактов. Учитывая то, что при выполнении работ по государственным контрактам заказчики не могут ограничивать исполнителя в привлечении соисполнителей, граница между услугой Bug Bounty и пентестом еще больше размывается.
Таким образом, на сегодняшний день не возникает вопросов к тому, как нормативно закреплена услуга по анализу защищенности (пентесту). Текущая задача - приравнять в рамках правового поля услуги, оказываемые в рамках программ Bug Bounty, к услугам по анализу защищенности (пентесту), а также снять все возможные барьеры с точки зрения типовых документов. Сейчас важно сформировать требования к самим площадкам, оказывающим услуги в рамках программ Bug Bounty, и к привлекаемым специалистам.
В июле СМИ писали о том, что Минцифры рассматривает возможность ввести в правовое поле понятие Bug Bounty. Ведётся ли уже какая-то работа в этом направлении? Какие нормативные акты для этого понадобились бы?
Владимир Бенгин: Минцифры России ведёт работу по внедрению мероприятий, необходимых для успешной реализации программ Bug Bounty, в различные нормативно-правовые акты. Кроме того, в настоящее время ведется работа по закреплению в НПА обязательного подключения государственных информационных систем к программам Bug Bounty.
Что могла бы дать «легализация» «белых хакеров» в России? Какой результат вы ожидаете?
Владимир Бенгин: Внедрение программы Bug Bounty на государственном уровне поможет увеличить эффективность процесса управления уязвимостями в государственных информационных системах и радикально повысить защищенность их информационной инфраструктуры.
В случае более широкого распространения практики Bug Bounty на госсистемы, объекты КИИ как вы считаете, насколько велик риск, что под видом «белых хакеров» «злые хакеры» могут использовать найденные уязвимости во вред, особенно учитывая, что сейчас неспокойная обстановка в мире? Например, они могут продать эти уязвимости на чёрном рынке или просто передать их иностранным недоброжелателям России.
Владимир Бенгин: Независимо от того, применяются практики Bug Bounty или нет, информационная инфраструктура России остается целевой для огромного количества хакеров. Прозрачно выстроенный процесс передачи информации об уязвимостях, а также прозрачная система вознаграждений помогут мотивировать специалистов передавать информацию в правильные руки. Кроме того, благодаря системе мотивации исследователей, сильно снизится вероятность того, что уязвимости будут эксплуатироваться с целью нанести ущерб Российской Федерации для получения личной выгоды.
