Основная масса заказчиков российских программ bug bounty представлена частным бизнесом, обслуживающим большое количество клиентов: банками, онлайн-сервисами, электронной коммерцией, разработчиками ИТ-продуктов. Однако в будущем главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры.
В 2021 году количество программ bug bounty, по данным HackerOne, увеличилось на 34%, а исследователи безопасности выявили на 21% больше уязвимостей. К 2027 году рынок bug bounty может вырасти до 5,5 млрд долл.
По данным Positive Technologies, лидер по количеству крупных bug-bounty-платформ — Азиатский регион, в котором располагаются 38% проанализированных ресурсов. На втором месте расположился Европейский регион, включая Россию: здесь находится треть исследованных платформ, в том числе одни из наиболее крупных, например Intigriti, YesWeHack, Zerocopter и Standoff 365. Доля платформ Североамериканского и Ближневосточного регионов составила 21% и 8% соответственно.
Российский рынок bug bounty активно формируется. В 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров, обогнав Китай и Германию. В разное время порядка 40 компаний запускали открытые программы bug bounty. В стране действуют три основные платформы: Bugbounty.ru, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty. При этом половина программ являются закрытыми, то есть количество исследователей в них ограничено и заранее оговорено.
Российские компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают 1 млн руб. и более. Например, средняя выплата за критически опасную уязвимость на платформе Standoff 365 составляет 420 тыс. руб., что сопоставимо с выплатами по миру. В целом наибольшие средние суммы вознаграждений за нахождение уязвимостей критического и высокого уровня опасности оказались в bug bounty программах блокчейн-проектов и ИТ-компаний.
В Positive Technologies ожидают бурный рост числа российских программ bug bounty в ближайшее время. Предпосылки для дальнейшего роста рынка — увеличение количества и сложности киберугроз, недоступность в России многих мировых сервисов, а также расширение спектра организаций, прибегающих к bug bounty: этот метод обеспечения кибербезопасности стали использовать небольшие компании и государственные учреждения.
Драйвером отечественного рынка bug bounty может стать и устранение юридических барьеров, на которое сейчас направлена работа регуляторов — Минцифры и ФСТЭК. Российский рынок органически вырастет за счет появления программ поиска уязвимостей в большем спектре секторов экономики. Эксперты отмечают, что росту также будет способствовать появление программ в объектах критической инфраструктуры (КИИ), необходимое для расширения процессов управления уязвимостями (в дополнение к сканерам безопасности и периодическим пентестам). При этом организации КИИ уже заинтересованы в bug bounty: это способ проверить, возможна ли реализация недопустимых событий, которые могут привести к непоправимым последствиям, в их информационных системах.