Хакерство во благо: компании платят за выявление уязвимостей

Удивительно, но факт: софтверные гиганты теперь платят хакерам, чтобы те их взламывали. С 2010 в крупнейших ИТ-корпорациях — Google, Microsoft и Facebook — действуют так называемые «Bug Bounty» или программы поощрения за выявленные уязвимости.

Участвуя в них, независимые специалисты по информационной безопасности (ИБ) имеют возможность выиграть денежный приз и получить признание в своей сфере за обнаруженные в программных продуктах серьезные проблемы, связанные с кибербезопасностью. Если 2016 год запомнился многочисленными хакерскими скандалами, то 2017-й может войти в историю как год «дружественного взлома», считают обозреватели Financial Times.

Программы Bug Bounty распространяются уже не только внутри ИТ-индустрии, но и за ее пределами. Так, MasterCard, Johnson & Johnson и даже Пентагон предлагают хакерам пробовать свои силы на системах безопасности компаний. Поощряя ИБ-энтузиастов за найденные уязвимости, корпорации получают возможность устранить проблемы и предотвратить кибервзломы, а в некоторых случаях еще и взять к себе на работу лучшие таланты в ИБ-сфере.

Вот почему ведущие компании готовы выплачивать миллионы долларов в качестве премий хакерам. По данным Bugcrowd, специализирующейся на информационной защите и организующей программы Bug Bounty для других компаний, за последние несколько лет Google, Facebook, Yahoo, Microsoft и Mozilla перечислили «дружественным хакерам» вознаграждения на общую сумму более 13 миллионов долларов.Сама идея Bug Bounty не нова: еще в 1995 году компания Netscape предложила денежный приз тем, кто найдет ошибки в ее новом веб-браузере Navigator 2.0.

Сегодня тысячи «добропорядочных хакеров» помогают сотням различных организаций выявлять «баги» в программном обеспечении и делать его безопасным. Награда может быть как чисто символической, в виде подарочной футболки, так и серьезной, например, миллион авиа-миль для бесплатных перелетов или денежная премия в 200 тысяч долларов (такую выплачивает Apple за выявление критических ошибок).

Подобное сотрудничество выгодно как самим хакерам, так и предлагающим его компаниям. Для первых — это легальная возможность продемонстрировать свои способности и указать на существующие бреши, получив взамен вознаграждение и славу, а для вторых — эффективный и экономичный способ выявить и устранить проблемы в кибербезопасности, и пополнить штат.

Некоторым из лучших баг-хантеров (от англ. bug — ошибка; hunter — охотник) после победы в программе предлагают высокооплачиваемые корпоративные должности. Таким образом, талантливым, но не имеющим соответствующего высшего образования и достаточных средств, ИБ-энтузиастам участие в Bug Bounty дает еще и шанс на престижную работу.

По мнению обозревателей, программы поощрения хакеров — хорошая и эффективная практика, позволяющая привлечь тысячи ИБ-профессионалов и с их помощью создать так необходимую современному цифровому обществу «иммунную систему».