Поделиться
Innostage: этичные хакеры — новый драйвер цифровой устойчивости
Багбаунти и открытые кибериспытания в России демонстрируют устойчивый рост: к маю 2025 г. общая сумма вознаграждений на платформе Standoff 365 Bug Bounty превысила 240 млн руб. При этом динамика рынка измеряется не только деньгами — растет и число «белых» хакеров, участвующих в программах, и количество компаний, готовых открыто проверять свои ИТ-контуры на прочность. По статистике организаторов платформы, с конца 2023 г. по май 2025 г. количество «белых» хакеров, принимающих участие в программе (свыше 25 тыс. из 60 стран), увеличилось более, чем в три раза, а общее количество сданных отчетов (10,9 тыс.) — более, чем в пять раз. Об этом CNews сообщили представители Innostage.
По оценке Innostage, 90% «белых» хакеров готовы работать открыто при условии, что закон будет их защищать и поощрять.
В программах багбаунти участвуют не только ведущие ИТ-компании, но и государственные учреждения – например, свои программы есть у Минцифры России, а Московская и Ленинградская области еще в декабре 2023 г. первыми запустили программы по поиску уязвимостей в своих инфраструктурах. Востребованность «белых» хакеров, в том числе пентестеров, так же растет: количество таких вакансий на рекрутинговых площадках в 2025 г. выросло на 20% по сравнению с 2024 г.
В то же время работа «белых» хакеров до сих пор сопряжена с юридическими рисками. Несмотря на то, что они действуют в рамках закона, грань между этичными специалистами и злоумышленниками остается тонкой. К примеру, наказание за взлом и копирование какой-то информации без соглашения с правообладателем – до двух лет лишения свободы, а если в скопированной информации содержится медицинская, банковская или коммерческая тайна, – то до семи лет. Получается, что, просто выполняя свою работу или участвуя в программе багбаунти, «белый хакер» потенциально рискует столкнуться с уголовной ответственностью.
Поэтому, с одной стороны, хакеров-злоумышленников выявляют все чаще, и заниматься киберпреступностью становится все менее выгодно. С другой — при отсутствии правовых гарантий у специалистов сохраняется дилемма: передавать информацию об уязвимости компании в надежде на благодарность и компенсацию или не рисковать и продать ее на теневом рынке анонимно.
26 мая 2024 г. компания Innostage объявила о выходе на программу открытых кибериспытаний на платформе Standoff 365 BugBounty. За год ее целевая инфраструктура подверглась более 850 тыс. атак, проведенных более чем 1200 этичными хакерами, однако ни одному из них не удалось реализовать недопустимое событие.
В декабре 2024 г. Innostage стала первым кибериспытанным интегратором, получив сертификат 0001 от АО «Кибериспытания». А с 23 мая 2025 г. компания удвоила вознаграждение за реализацию недопустимого события — с 10 до 20 млн руб.
«После года, проведенного на кибериспытаниях мы ясно осознали: хакеры и кибериспытания – это про экономику, про измерение безопасности в конкретных цифрах. Повышение вознаграждения – наша осознанная позиция. Мы не просто повышаем узнаваемость — а целенаправленно привлекаем более сильных и мотивированных исследователей. Мы заинтересованы в том, чтобы к нам приходили “белые” хакеры и проверяли нашу защиту. И мы морально готовы заплатить 20 млн: это гораздо разумнее, чем платить выкуп в случае реального взлома или подвергать риску данные наших заказчиков», – сказал генеральный директор Innostage Айдар Гузаиров.
В Innostage считают киберустойчивость ключевым качеством любой современной организации. Только этичный хакинг позволяет протестировать защиту максимально приближенно к действиям злоумышленников, в том числе по сценариям, которые сложно предсказать. Если специалисты будут получать достойные предложения и при этом чувствовать правовую защиту, интерес к теневому рынку будет снижаться.
«Я в кибербезопасности с 1996 г., но даже у меня не было полной уверенности в том, что даст участие в кибериспытаниях. Внутри компании было серьезное сопротивление. Мы опасались, что нас могут взломать. Но потом задали себе главный вопрос: если мы приносим заказчику уверенность, что его никто не взломает — почему сами не готовы пройти ту же проверку? Доверие — ключевой ресурс в нашей отрасли. Сегодня я убежден: “белые” хакеры и кибериспытания — неотъемлемая часть кибербезопасности», – сказал Айдар Гузаиров.
Короткая ссылка
