За год — с августа 2024-го по август 2025-го — российские белые хакеры получили почти 269 млн рублей за поиск уязвимостей в цифровых сервисах. Основные выплаты пришлись на две крупнейшие bug bounty-платформы: BI. Zone и Standoff Bug Bounty от Positive Technologies. Лидерами по числу заказов стали финтех, госсектор и IT-компании, на которые суммарно пришлось до 80% всех вознаграждений. Самая крупная выплата достигла почти 5 млн рублей за обнаружение критической уязвимости в национальном мессенджере Max.

Как правило, новые участники — и коммерческие компании, и госсектор — начинают с небольших выплат, чтобы оценить результат, понять, где больше пользы, подтверждает руководитель направления по развитию информационной безопасности «Телеком биржи» Александр Блезнеков.

При этом средние суммы вознаграждений различались: на BI. Zone они снизились с 44 до 41 тыс. рублей из-за прихода госсектора и среднего бизнеса с небольшими бюджетами, тогда как на Standoff выросли до 76 тыс. рублей благодаря большему числу критических находок. Эксперты отмечают, что рост интереса компаний к программам bug bounty связан с увеличением числа кибератак и потребностью получать независимую оценку безопасности. По прогнозам специалистов, стоимость выявленных уязвимостей будет расти по мере того, как останутся только наиболее сложные для обнаружения проблемы.

Рост количества компаний, запускающих собственные bug bounty программы, объясняется тем, что классические методы безопасной разработки не могут полностью исключить все риски и гарантировать отсутствие уязвимостей. Когда компания привлекает внешних исследователей, которые мыслят как потенциальные злоумышленники и ищут любые лазейки в безопасности, она получает гораздо более полную и объективную картину уязвимостей, отмечает Блезнеков.

Источник: Ведомости