Минцифры предлагает установить единые тарифы Bug Bounty в государственных ИТ-сетях

Минцифры России рассматривает возможность установления единых государственных тарифов для участников программ Bug Bounty, направленных на выявление уязвимостей в государственных ИТ-системах.

Заместитель министра цифрового развития Александр Шойтов отметил, что многие государственные органы уже проводят подобные программы, однако они пока не являются обязательными. Для стандартизации процесса предлагается ввести фиксированные государственные вознаграждения для «белых хакеров» за обнаруженные уязвимости.

В ведомстве подчеркнули, что обсуждают различные варианты с заинтересованными сторонами, однако конкретные детали и мероприятия пока не определены. Эксперты рынка кибербезопасности поддерживают инициативу, отмечая, что для эффективного привлечения специалистов вознаграждения должны соответствовать или превышать текущие рыночные ставки. Однако «белые хакеры» могут потерять мотивацию к поиску уязвимостей, если фиксированная цена за их нахождение не будет соответствовать реальному масштабу значимости и не будет отражать динамику рынка, заявил гендиректор компании «Интернет‑розыск» Игорь Бедеров.

Ранее Минцифры уже запускало программы Bug Bounty для государственных ресурсов. В ноябре 2023 года стартовал второй этап программы по поиску уязвимостей на портале «Госуслуги» и других системах электронного правительства. Вознаграждения за найденные уязвимости варьировались в зависимости от их критичности: от 30 тысяч рублей за низкую до 1 миллиона рублей за критическую уязвимость.