По словам Шойтова, множество федеральных и региональных органов власти уже используют данную программу, но пока делают это на добровольной основе. Введение обязательных норм требует дальнейшего обоснования эффективности Bug Bounty и уточнения зон ответственности участников тестирования. Для того чтобы программа стала обязательной, необходимо ее стандартизировать и ввести тарифы на выплаты за находки «белых хакеров», пишет «Коммерсантъ».
Представители Минцифры отметили, что инициатива еще находится на стадии обсуждения, и пока нет конкретных деталей. Министерство взаимодействует с различными ведомствами и отраслевыми организациями для нахождения оптимального решения. Эксперты подчеркивают, что введение тарифов необходимо для стандартизации Bug Bounty, особенно учитывая, что она планируется как обязательная мера для критической информационной инфраструктуры (КИИ) и государственных органов.
Другой эксперт упомянул, что разработка тарифной сетки предполагает разные суммы выплат по федеральным округам. Например, за критические уязвимости суммы могут варьироваться от 30 до 50 тысяч рублей, а для значимых сервисов, таких как «Госуслуги», выплаты могут достигать миллиона рублей.
Однако эксперты также поднимают вопросы о возможных рисках. Фиксированные тарифы могут не учитывать реальную значимость уязвимостей и изменяющийся рынок услуг по информационной безопасности. Это может снизить мотивацию участников к выявлению уязвимостей, если выплаты не будут соответствовать реальной стоимости их работы.
Ранее мы писали о том, что безопасность государственных информационных систем (ГИС) Ленинградской области проверят независимые исследователи на платформе bug bounty BI.ZONE. Об этом сообщили в комитете цифрового развития Ленинградской области.
