Bug Bounty în România: când are sens un program și când nu
Bug bounty atrage hackeri etici care găsesc vulnerabilități în schimbul unei recompense. Vedem când are sens pentru o firmă din România, cum se compară cu pentest tradițional și ce costă în realitate.
Pe scurt
Bug bounty e un program prin care o organizație plătește hackeri etici (security researchers) pentru fiecare vulnerabilitate raportată cu succes. Plățile variază de la 100 EUR (low severity) la 50.000 EUR+ (RCE critic). Platforme dominante: HackerOne, Bugcrowd, Intigriti.
Pentest tradițional = engagement plătit (5.000-50.000 EUR / 1-4 săptămâni) cu o firmă specializată care testează scope-ul declarat conform Statement of Work.
În România, bug bounty rămâne niche — sub 30 firme cu programe active publice (2026). Articol pentru: CISO sau dev lead care evaluează dacă bug bounty are sens pentru organizația lor.
Avantaje bug bounty vs pentest tradițional
| Criteriu | Bug Bounty | Pentest Tradițional |
|---|---|---|
| Cost predictibil | ❌ Variabil (1.000-100.000 EUR/lună) | ✅ Fix (5.000-50.000 EUR/engagement) |
| Acoperire continuă | ✅ 24/7, sute de hackeri | ❌ Snapshot (1-4 săptămâni) |
| Diversitate testers | ✅ Sute de skill-uri diferite | ❌ 2-5 testeri firmă specializată |
| Pay-for-results | ✅ Plătesc doar pentru bug-uri valide | ❌ Plătiți chiar fără bug-uri găsite |
| Calitate raport | ⚠️ Variabil — depinde de hacker | ✅ Standard — raport profesional |
| Compliance (NIS2/PCI) | ⚠️ Suplimentar — nu înlocuiește pentest formal | ✅ Acceptat ca evidence audit |
| Time to first report | ⚠️ 1-7 zile (depinde de scope + cuantum) | ✅ Garantat — calendar contract |
| Triage effort | ❌ Mare — duplicates, false positives | ✅ Minim — firma face triage |
| Re-test inclus | ⚠️ Negotiate per platform | ✅ De obicei inclus |
Când are sens bug bounty în România
✅ Profil compatibil
- Echipă de securitate proprie (1+ FTE) care face triage rapoartelor
- Mature dev process — release frequent, fix-uri rapide pe vulnerabilități raportate
- Public-facing app cu volum mare — site cu milioane vizite, API expus
- Buget anual ≥ 50.000 EUR pentru recompense
- Programe pentest existente (BB completă, nu înlocuiește)
Exemple românești: eMAG, UiPath, Bitdefender, Banca Transilvania.
❌ Profil incompatibil
- SMB fără echipă de securitate dedicată
- App-uri legacy fără capacitate fix rapid
- Aplicații cu date super-sensibile (sănătate, defense) unde testing public crește risc
- Buget limitat — bug bounty fără buget e farsă (hackerii pleacă)
Cum se setează un program bug bounty
Pas 1 — Pregătire internă (3-6 luni)
- Pentest manual complet întâi — eliminați low-hanging fruit
- Echipă de triage — minim 2 persoane care răspund în 24h
- Process fix → re-test → payout — SLA clar (14-30 zile)
- Statement of Work / Scope — domains, IPs, ce e in/out of scope
- Safe Harbor agreement — protecție legală pentru hackeri
Pas 2 — Alegere platformă
| Platformă | Pro | Con | Cost |
|---|---|---|---|
| HackerOne | Cea mai mare comunitate | Premium pricing | $5.000+/lună program managed |
| Bugcrowd | Triage inclus | Mai puțin elite hackers vs H1 | $3.000+/lună |
| Intigriti | Europă-focused, GDPR-friendly | Comunitate mai mică | €1.500+/lună |
| Self-hosted (responsable disclosure pe site propriu) | Cost zero platform | Triage 100% intern, comunitate mică | 0 EUR |
Pentru organizații RO care vor expunere UE, Intigriti e cel mai accesibil.
Pas 3 — Bug Bounty policy publică
Pe firma.ro/security sau firma.ro/.well-known/security.txt:
Contact: mailto:security@firma.ro
Policy: https://firma.ro/security
Encryption: https://firma.ro/security/pgp.txtPlus pagina policy cu:
- Scope (domenii in / out)
- Reward table (low: 100€, medium: 500€, high: 2.000€, critical: 10.000€)
- SLA triage + payout
- Safe Harbor (nu vom da în judecată hackeri etici)
- Tipuri vulnerabilități acceptate / refuzate
Cazuri reale RO
- eMAG — program HackerOne activ din 2018. Plăți 100-3.000 USD per bug, ~50 bug-uri/an raportate.
- UiPath — program Bugcrowd din 2020. Focus pe automation security.
- Bitdefender — program intern + HackerOne. Recompense pentru bug-uri în engine antivirus.
Confuzii frecvente
“Bug bounty înlocuiește pentest-ul tradițional.” — Greșit. Bug bounty e suplimentar pentest. Auditori NIS2 / PCI-DSS cer evidență pentest formal periodic — bug bounty nu califică singur.
“Costul mediu e predictibil.” — Greșit. Un singur RCE critic = 50.000 EUR plătiți într-o săptămână. Bugetul real fluctuează ±300%.
“Hackerii vor face damage testing.” — Bug bounty cu Safe Harbor + scope clar = riscuri minime. Edge cases (DoS, data destructive) se exclud explicit din policy.
“Programul închis (private) e suficient.” — Programe private (invitație doar) atrag mai puțin volum de hackeri → mai puține bug-uri găsite. Pentru organizații serioase, public e standardul după 6-12 luni de tuning intern.
Alternative ARTEMIS pentru organizații care nu vor bug bounty
ARTEMIS Pentest Pro oferă tier-ul Penetration Test Manual cu Statement of Work:
- Scope clar definit
- Echipă CAI (OSCP / CEH certified)
- Raport profesional NIS2-ready
- Re-test inclus
- Cost predictibil (8.000-25.000 EUR / engagement)
- Calendaristic 2-4 săptămâni
Pentru organizații care nu au echipă internă de triage = mai eficient decât bug bounty.
🔗 Soluții complementare CAI Technology
- ARTEMIS — Pentest Pro cu SoW (alternativă bug bounty pentru organizații fără echipă triage). + audit automat continuu.
- Auditope — Audit holistic web — multe bug bounty rapoartează probleme deja detectabile automat.
- Lexnomia — Evaluare conformitate auditor-grade NIS2 — bug bounty contează ca “control complementar”.
- BeLegal — Verificare gratuită 5 minute compliance UE.
- AriaUnited — Consultanță fonduri europene pentru investiții programe de securitate (poate include co-finanțare implementare bug bounty intern).