Проверка на уязвимости
Минцифры планирует до конца 2023 г. запустить программу тестирования информационных систем «белыми хакерами» Bug Bounty. Как стало известно «Коммерсанту», поиск уязвимостей будет развернут на «Госуслугах» и девяти собственных сервисах министерства — в Единой биометрической системе, Единой системе идентификации и аутентификации, Единой системе нормативной справочной информации и др.
Платформы для поиска уязвимостей за вознаграждение предоставят Positive Technologies и BI.Zone. Срок действия программы — один год. Выплата за каждую серьезную уязвимость, которую обнаружит «белый хакер», может достигать 1 млн руб. в зависимости от значимости.
Минцифры за «белых» хакеров
Минцифры в марте 2022 г. опубликовало на своем сайте предложение профессиональному сообществу протестировать и поддержать финансово проведение пентестов (анализ системы на наличие уязвимостей) и Bug Bounty (выплата вознаграждения за обнаружение уязвимостей).
«Инициатива в первую очередь связана с нехваткой кадров и компетенций. И, конечно же, с осознанием, что против России ведется кибервойна и требуется усилить оборону и закрыть бэкдоры и дыры», — сказала тогда «Известиям» руководитель перспективных проектов в области информационной безопасности Фонда ??Сколково» Оксана Ульянинкова.
«Программы Bug Bounty используются крупными корпорациями, такими как Google, Microsoft, и другими, для поиска уязвимостей в своих продуктах. Также, например, и Агентство национальной безопасности США использует «белые шляпы», — отметила эксперт.
«Госуслуги» уже проверяли
Первое тестирование «Госуслуг», как сообщало Минцифры, завершилось в мае 2023 г., было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности. Максимальная выплата за найденную ошибку составила 350 тыс. руб., минимальная — 10 тыс. руб. Спонсором проекта выступил «Ростелеком».
Работа исследователей помогла улучшить систему безопасности «Госуслуг», но при этом доступа к внутренним данным у багхантеров не было, говорится на сайте синистерства. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365.
В конце марта 2023 г. Минцифры зарегистрировало BI.ZONE Bug Bounty в реестре отечественного ПО. Теперь платформа официально входит в число продуктов, которые могут использовать компании с государственным участием.



