Удивительно, но факт: софтверные гиганты теперь платят хакерам, чтобы те их взламывали. С 2010 в крупнейших ИТ-корпорациях – Google, Microsoft и Facebook – действуют так называемые “Bug Bounty” или программы поощрения за выявленные уязвимости.
Участвуя в них, независимые специалисты по информационной безопасности (ИБ) имеют возможность выиграть денежный приз и получить признание в своей сфере за обнаруженные в программных продуктах серьезные проблемы, связанные с кибербезопасностью. Если 2016 год запомнился многочисленными хакерскими скандалами, то 2017-й может войти в историю как год “дружественного взлома”, считают обозреватели Financial Times.
Программы Bug Bounty распространяются уже не только внутри ИТ-индустрии, но и за ее пределами. Так, MasterCard, Johnson & Johnson и даже Пентагон предлагают хакерам пробовать свои силы на системах безопасности компаний. Поощряя ИБ-энтузиастов за найденные уязвимости, корпорации получают возможность устранить проблемы и предотвратить кибервзломы, а в некоторых случаях еще и взять к себе на работу лучшие таланты в ИБ-сфере.
Вот почему ведущие компании готовы выплачивать миллионы долларов в качестве премий хакерам. По данным Bugcrowd, специализирующейся на информационной защите и организующей программы Bug Bounty для других компаний, за последние несколько лет Google, Facebook, Yahoo, Microsoft и Mozilla перечислили “дружественным хакерам” вознаграждения на общую сумму более 13 миллионов долларов.Сама идея Bug Bounty не нова: еще в 1995 году компания Netscape предложила денежный приз тем, кто найдет ошибки в ее новом веб-браузере Navigator 2.0.
Сегодня тысячи “добропорядочных хакеров” помогают сотням различных организаций выявлять “баги” в программном обеспечении и делать его безопасным. Награда может быть как чисто символической, в виде подарочной футболки, так и серьезной, например, миллион авиа-миль для бесплатных перелетов или денежная премия в 200 тысяч долларов (такую выплачивает Apple за выявление критических ошибок).
Подобное сотрудничество выгодно как самим хакерам, так и предлагающим его компаниям. Для первых – это легальная возможность продемонстрировать свои способности и указать на существующие бреши, получив взамен вознаграждение и славу, а для вторых – эффективный и экономичный способ выявить и устранить проблемы в кибербезопасности, и пополнить штат.
Некоторым из лучших баг-хантеров (от англ. bug – ошибка; hunter – охотник) после победы в программе предлагают высокооплачиваемые корпоративные должности. Таким образом, талантливым, но не имеющим соответствующего высшего образования и достаточных средств, ИБ-энтузиастам участие в Bug Bounty дает еще и шанс на престижную работу.
По мнению обозревателей, программы поощрения хакеров – хорошая и эффективная практика, позволяющая привлечь тысячи ИБ-профессионалов и с их помощью создать так необходимую современному цифровому обществу “иммунную систему”.