Как выросли доходы «белых хакеров» в прошлом году
Индустрия поиска уязвимостей в IT-системах демонстрирует впечатляющий рост — доходы специалистов по информационной безопасности на платформах Bug Bounty существенно увеличились в 2024 году. Этому способствовало как повышение популярности тестирования систем безопасности, так и возросшая ответственность компаний за возможные инциденты. Перспективы рынка выглядят многообещающе — ожидается расширение программ Bug Bounty в государственном секторе и сегменте малого и среднего бизнеса, заинтересованного в защите своей IT-инфраструктуры.
Платформа Standoff Bug Bounty от Positive Technologies достигла значительных результатов — общая сумма вознаграждений исследователям превысила 158 млн рублей. Средняя выплата за отчет увеличилась на 13%, достигнув 58 тыс. рублей. Количество принятых отчетов об уязвимостях выросло на 43% до 1,9 тыс. за год. Число зарегистрированных специалистов удвоилось, достигнув 18,4 тыс. человек к концу 2024 года.
Платформа BI.ZONE Bug Bounty показала впечатляющий рост выплат — 64 млн рублей за 2024 год, что вдвое превышает показатели 2023 года. По словам Евгения Волошина, директора департамента анализа защищенности, количество государственных организаций на платформе утроилось за год, демонстрируя растущий интерес госсектора к кибербезопасности.
Госсектор лидирует по количеству обнаруженных критических уязвимостей — 19% от общего числа отчетов. В финансовой сфере большинство серьезных уязвимостей связано с проблемами контроля доступа, что объясняется сложностью систем. В целом доля критических и высокоопасных уязвимостей составила 31% от всех обнаружений.
Основатель BugBounty.Ru Лука Сафонов подчеркивает важность интеграции Bug Bounty в процесс разработки продуктов, отмечая рост инвестиций компаний в безопасность на фоне участившихся атак и усиления регулирования.
2024 год ознаменовался значительным развитием законодательной базы в сфере кибербезопасности. В Государственной Думе рассматривается законопроект о легализации деятельности специалистов по информационной безопасности. Параллельно Совет Федерации работает над обязательным внедрением тестирования безопасности для компаний критической инфраструктуры.
Министерство цифрового развития прорабатывает систему государственных тарифов для Bug Bounty программ. Предполагаемые выплаты за критические уязвимости могут составить 30-50 тыс. рублей по федеральным округам, а для сервисов — до 1 млн рублей.
Алексей Кузнецов из CICADA8 отмечает, что рост выплат обусловлен расширением рынка при ограниченном количестве специалистов. Прогнозируется дальнейший рост более чем на 50% ежегодно.
Антон Лопаницын, CEO Passleak, указывает на сохраняющийся разрыв между российскими и мировыми ставками вознаграждений. Однако низкая конкуренция на местном рынке позволяет опытным специалистам получать достойное вознаграждение.
Павел Топорков, независимый эксперт по кибербезопасности, отмечает необходимость развитой ИБ-инфраструктуры для успешного участия в Bug Bounty программах. Компании постепенно осознают преимущества таких инвестиций.
Бизнес все активнее признает важность инвестиций в кибербезопасность, хотя некоторые организации все еще опасаются юридических аспектов программ Bug Bounty. Прозрачность и четкость условий становятся ключевыми факторами успеха.
Наталья Воеводина, руководитель проекта «Кибериспытание», прогнозирует рост спроса на программы оценки защищенности в 2025 году. Особенно заметным будет увеличение интереса со стороны госсектора и малого бизнеса, стремящихся защититься от киберугроз.
Источник: www.kommersant.ru
