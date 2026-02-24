Поряд із кіберзлочинцями, які шукають вразливі місця для зиску або шкоди, працюють і так звані білі хакери – фахівці, що тестують системи легально та за згодою власника. Вони використовують ті самі інструменти та методи, але з протилежною метою – зробити цифрову інфраструктуру стійкішою, а не вразливішою.

У спеціально створеному для тестування середовищі у межах Kyiv International Cyber Resilience Forum 2026, що відбувся у лютому, команда білих хакерів перевірила кібербезпеку маркетплейсу озброєння на платформі DOT-Chain Defence Агенції оборонних закупівель ДОТ. Це був контрольований формат, де учасники працювали на окремо розгорнутому середовищі з тестовими даними та з доступом до всіх функцій. Організатори від самого початку наголошували на безпеці процесу – так, щоб не зламати робочі сервіси, водночас побачити реальні слабкі місця.

Тестування відбувалося в межах спеціальної програми Bug Bash – формату, у якому кожна знайдена вразливість оцінюється за шкалою критичності, а бали потім конвертуються у частку призового фонду. За словами одного з організаторів, це дозволяє збалансувати мотивацію учасників і ефективно розподілити винагороди серед тих, хто знайшов найбільш суттєві недоліки.

24 Канал поговорив із переможцем змагань Богданом Коржинським та розповідає, хто такі "білі хакери" та в чому перевага українців у цій ролі.

Хто такі білі хакери, що й для чого вони перевіряли?

Учасники заходу, які також називають себе "хантерами", працювали в ізольованому середовищі, що імітує реальний продакшн-сервіс.

Максим Грабар, представник відділу інформаційної безпеки DOT, пояснює: тестове середовище відкрито лише для спеціально допущених тестувальників, і в ньому вони можуть працювати з усіма функціями сервісу так, ніби це реальний продукт. За його словами, це дає можливість одночасно оцінити логіку, функціональність і безпеку сервісів, не ризикуючи витоком реальних даних.



Команди білих хакерів / Фото надане організаторами

Система оцінювання працювала за трьома рівнями: один бал – середній, три – високий і п’ять – критичний. Ці бали сумувалися, і призовий фонд розподілявся пропорційно результатам кожного "хантера". Як каже організатор, модель передбачає кілька підходів до бюджету: перші дні діють одні обмеження, а потім ті, хто продовжує, працюють уже в інших умовах, маючи можливість глибше опрацювати складніші вразливості.

Загалом систему тестували понад 20 учасників, частина яких працювала онлайн. Організатори також підкреслили, що таких фахівців перевіряють відповідні служби, щоб у тестуванні брали участь саме етичні хакери – ті, хто діє у межах узгодженого скоупу і готовий до відповідального розкриття.



Одні з учасників / Фото надане організаторами

Переможці отримали сертифікати від організаторів на головній сцені форуму. Серед них:

перше місце, Богдан Коржинський – 300 000 гривень;

друге місце, Василь Спачинський – 125 000 гривень;

третє місце, Іван Слодзик – 75 000 гривень.

Погляд зсередини: які переваги українських хантерів?

Богдан Коржинський, який переміг на змаганнях, розповів 24 Каналу, що його шлях у біле хакерство почався з інтересу до внутрішньої логіки складних цифрових систем – не лише до коду, а й до того, як вони спроєктовані та де можуть давати збій. З часом це стало частиною професійної діяльності.

Мій шлях у сферу етичного хакінгу почався з класичного технічного інтересу до того, як працюють складні цифрові системи та де в них виникають логічні або архітектурні помилки,

– каже він.

За словами Богдана, тестування – це не змагання за кількість знайдених помилок:

Тестування для мене – це не просто "полювання на вразливості", а інструмент підвищення реальної стійкості українських діджитал-систем.

Він підкреслює, що обирає програми свідомо – зважаючи на суспільну значущість ресурсу, прозорість правил і чітко визначений скоуп тестування, а також на готовність організації оперативно взаємодіяти та виправляти проблеми.



Одні з учасників / Фото надане організаторами

Коржинський зазначає, що державні ресурси мають особливу вагу, оскільки обслуговують критичні процеси. Наразі він бере участь у тестуванні державних ресурсів ДП МОУ "Агенція оборонних закупівель" та ДП "Прозорро" в межах Bug Bash 2026, який проходив під час Kyiv International Cyber Resilience Forum на платформі Bugstream. Формат, за його словами, передбачав чітко визначені правила взаємодії та контрольований процес пошуку вразливостей.

Він також пояснює, що технічно різниця між етичними хакерами та зловмисниками мінімальна.

На рівні технологій різниці майже немає. Використовуються ті самі методи аналізу, ті самі інструменти та підходи,

– говорить він.

Водночас ключова межа проходить у правовій площині та намірах: "Етичний хакер тестує систему за згодою власника, щоб зробити її сильнішою, і повідомляє про проблему відповідально".

Натомість кіберзлочинець, за словами білого хакера, шукає спосіб використати вразливість для вигоди або завдати шкоди.

Коржинський наголошує, що переходи між цими сферами можливі: частина фахівців із глибокими технічними знаннями свідомо обирає легальний формат роботи через bug bounty та bug bash програми, але існують і випадки, коли ті самі компетенції використовують незаконно.

Я періодично долучаюся до українських державних ініціатив, а також до світових зокрема тестував: IBM, Toyota, Ford, U.S. Dept Of Defense, Yahoo, Shopify, OpenAI, Snapchat, Vimeo, Cloudflare, Starbucks, Xiaomi, General Motors, Malwarebytes, Samsung, Fortinet, Privatbank, Fuib, Palo Alto Software та інших компаній,

– перераховує Богдан.

Окремо він окреслює переваги українських хантерів, сформовані роботою в умовах постійної кіберзагрози. Серед них:

Практичний досвід у складному середовищі – робота з державними, фінансовими та критичними системами.

– робота з державними, фінансовими та критичними системами. Глибоке розуміння бізнес-логіки – здатність знаходити не лише технічні, а й логічні вразливості.

– здатність знаходити не лише технічні, а й логічні вразливості. Системність мислення – аналіз не тільки через автоматизовані інструменти, а й через архітектуру та процеси.

– аналіз не тільки через автоматизовані інструменти, а й через архітектуру та процеси. Висока адаптивність – швидка реакція й ефективна робота в умовах підвищеної інтенсивності кіберзагроз.

"Робота в умовах високої інтенсивності кіберзагроз формує іншу швидкість мислення і відповідальності", – додає він.

Саме поєднання технічної глибини, практики й системного аналізу робить українських фахівців конкурентними як у державних ініціативах, так і в міжнародних програмах тестування.