Обнаружение ИТ-уязвимостей
Белые хакеры обнаружили почти 14 тыс. ИТ-уязвимостей в российских компаниях, пишут «Ведомости». Заказчики стали в два раза чаще обращаться к крупнейшим отечественным онлайн-платформ Bug Bounty в качестве превентивной защиты.
Всего за 2025 г. белыми хакерами, или багхантерами, было найдено 13 690 ИТ-уязвимостей в различных системах российских компаний и государственных учреждений, следует из совокупной статистики двух российских ИТ-платформ — Standoff Bug Bounty (Positive Technologies) и Bi.Zone Bug Bounty (Bi.Zone). Оба отчета есть в распоряжении «Ведомостей».
Bug Bounty — это программа, в рамках которой компания официально приглашает исследователей по кибербезопасности - багхантеров - искать ИТ-уязвимости в своих ИТ-продуктах, онлайн-сервисах или ИТ-инфраструктуре. За каждую подтвержденную находку багхантер получает денежное вознаграждение.
Представитель Positive Technologies уточнил, что общее количество полученных отчетов увеличилось год к году на 34% (7870), а у Bi.Zone на 20,1% (5800). При этом количество закрытых ИТ-уязвимостей составило 2909 у первых, и 2500 у вторых. Лидерами по количеству сданных отчетов на Standoff Bug Bounty стал финансовый сектор, а на Bi.Zone Bug Bounty лидировали онлайн-услуги и компании из ИТ-отрасли.
Белый хакер или пентестер — это ИТ-специалист по информационной безопасности (ИБ). Он проводит пентесты (от penetration test — тест на проникновение), находит и устраняет уязвимости в ИТ-инфраструктуре компании. В отличие от обычных хакеров, он находит баги по запросу бизнеса и официально получает за это деньги.
Увеличилось и общее количество доступных на ИТ-платформах программ по поиску ИТ-уязвимостей внутри инфраструктуры отдельных компаний. На конец 2025 г. на онлайн-платформе Positive Technologies действовало 233 программы (в 2,2 раза больше, чем в 2024 г.), а на онлайн-платформе Bi.Zone — 150 программ (в 1,5 раза больше, чем годом ранее).
Суммы выплат
У Positive Technologies средняя выплата в 2025 г. составила 65 416 руб., что на 12% больше, чем в 2024 г., а максимальная — 4,971 млн руб., но компанию, выплатившую такую сумму, представитель Positive Technologies не назвал.
Итоговая сумма выплат независимым исследователям за 2025 г. увеличилась год к году в два раза и составила 161 млн руб. В то же время у Bi.Zone средний размер выплаты не изменился год к году и держится на уровне 40 тыс. руб., а максимальное вознаграждение составило 1,8 млн руб., рассказал представитель Positive Technologies «Ведомостям». Всего за год онлайн-платформой было выплачено багхантерам на 35% больше, чем в 2024 г., — 100 млн руб.
Разница выплат на онлайн-платформах зависит от вилок выплат и «свежести» программы, поясняет генеральный директор BugBountyRu Лука Сафонов: на площадке Bi.Zone много федеральных государственных унитарных предприятий (ФГУП) с критично малыми максимальными выплатами, например программы Республики Татарстан и Тульской области.
Согласно данным Министерства цифрового развития, связи и массовых коммуникаций (Минцифры) в декабре 2025 г., с момента выхода министерства на Bug Bounty онлайн-площадки исследователями было сдано более 700 отчетов, из которых был принят 271. С 2023 г. Минцифры выплатило исследователям за найденные уязвимости более 13 млн руб.
Оценка ИТ-уязвимостей
Исследователи обычно регистрируются сразу на нескольких онлайн-платформах и берутся за интересные им компании с наибольшими выплатами или за те компании, где ИТ-уязвимости им по силам, но ценник меньше, уточняет директор центра киберзащиты Cloud.ru Сергей Волков. Размер выплат зависит от разных факторов, уточняет он, основным критерием является значимость найденной ИТ-уязвимости, ее влияние на бизнес заказчика и масштаб потенциальных последствий ее эксплуатации.
Публикуя информацию об ИТ-уязвимости, белые хакеры могли указать уровень ее критичности. По оценкам багхантеров на площадке Bi.Zone, 35% принятых ИТ-уязвимостей имели уровень критичности высокий и выше. В то же время на онлайн-площадке Positive Technologies 14% принятых отчетов имели критический, а 18% — высокий уровень ИТ-уязвимостей. Среди всех отраслей чаще всего исследователи на обеих площадках сталкивались с ИТ-уязвимостями, связанными с недостаточным контролем доступа в системах (IDOR).
2025 г. был характерен тем, что Bug Bounty программы перешли из вспомогательного инструмента в повсеместную практику, говорит руководитель Standoff Bug Bounty Азиз Алимов. Bug bounty все чаще используется превентивно как часть регулярной модели защиты, отметил он.
Поделиться
