Корпорация Microsoft за год выплатила исследователям 13,7 миллиона долларов за найденные уязвимости

Во вторник, 4 августа, корпорация Microsoft отчиталась об итогах работы своих программ премирования исследователей за обнаруженные уязвимости (bug bounty). За 12 месяцев с июня 2019 по июнь 2020 года в рамках этих программ было выплачено в общей сложности 13,7 миллиона долларов премиальных. Рост оказался более чем троекратным: за предыдущие 12 месяцев общая сумма вознаграждений исследователям составила 4,4 миллиона долларов.

В самой корпорации такую динамику считают положительной и объясняют главным образом двумя факторами. Во-первых, на протяжении года Microsoft запустила сразу 6 новых программ премирования, которые привлекли более 300 исследователей. А во-вторых, сказалось и влияние пандемии коронавируса COVID-19. У многих специалистов по кибербезопасности из-за вынужденного сидения дома образовался избыток свободного времени, которое они и решили использовать для поиска уязвимостей. Другие и вовсе оказались безработными, и премии за найденные уязвимости стали для них главным источником дохода. Этими соображениями поделился руководитель программ премирования Microsoft Джарек Стэнли.

Однако его точку зрения разделяют далеко не все. Примечательно, что в числе критиков оказалась и известный эксперт по кибербезопасности Кейти Муссурис. Именно она считается архитектором программ bug bounty корпорации Microsoft, впоследствии она также участвовала в разработке аналогичных программ для Министерства обороны США, а сейчас возглавляет компанию Luta Security. По мнению Муссурис, столь крупные объемы премий за уязвимости могут свидетельствовать об ошибках в долговременной стратегии безопасности компании. «Я рада расширению программ bug bounty Microsoft, но такие размеры премиальных способны привести к формированию некой извращенной мотивации», - заявила она. Кейти Муссурис считает, что в условиях, когда максимальная сумма премии составляет 250 тысяч долларов (как у Microsoft) или даже 1 миллион (как у Apple), у квалифицированных специалистов возникает соблазн просто уйти со своей штатной работы и посвятить себя «охоте» за уязвимостями. Профессионалы высокого уровня действительно смогут заработать таким образом больше. Муссурис полагает, что компаниям, в том числе и Microsoft, следовало бы больше инвестировать не в программы премирования, а в найм более квалифицированных сотрудников и обеспечение безопасности своих продуктов еще на стадии их разработки и тестирования.


Источник:  The Register

Возврат к списку