В прошлом году белые хакеры обнаружили свыше 6 тыс. уязвимостей в ИТ-системах российских компаний и госучреждений. Более 1,9 тыс. — было обнаружено через платформу Standoff Bug Bounty, которую развивает Positive Technologies. Еще более 4,4 тыс. отчетов подано на платформе BI.ZONE Bug Bounty.

Из отчета Positive Technologies следует, что госсектор стал рекордсменом по числу отчетов о критически опасных уязвимостях. Их доля составляла около 20% от выявленных ошибок в государственных системах. Сумма вознаграждений сторонних ИБ-специалистов за обнаруженные уязвимости в госсекторе составила 12,7 млн руб. При этом в Минцифры сообщили, что «у специалистов не было доступа к внутренним данным систем, они проверяли только внешний периметр».

Генеральный директор ГК ST IT Антон Аверьянов отметил, что госсектор в целом наиболее уязвим для хакерских атак, так как обновление софта в этой отрасли происходит через тендер, который занимает несколько месяцев.

Также в Positive Technologies рассказали, что в 2024 году багхантеры выявили на 43% больше уязвимостей, чем годом ранее. Сумма выплаченных вознаграждений исследователям за найденные в прошлом году уязвимости составила 88,1 млн руб., а общая сумма выплат с момента запуска программ Bug Bounty в мае 2022 году достигла 158 млн руб.

На платформе BI.ZONE Bug Bounty сумма вознаграждений за 2024 год составила 64 млн руб. Максимальная выплата за цепочку уязвимостей была 1,8 млн руб., а средняя — 44 тыс. руб. Самые крупные выплаты пришлись на ИТ и финансовый сектор.