На ресурсах электронного правительства найдено более 60 уязвимостей
Охотники за уязвимостями проверяют информационные системы российского электронного правительства на втором этапе Bug Bounty. Найдено уже 62 уязвимости. Максимальная сумма вознаграждения составила 500 тыс. руб. Но главный приз может составить еще больше — до одного млн. руб.
Электронное правительство проверяют на уязвимости
За три месяца работы второго этапа программы поиска уязвимостей Bug Bounty на ресурсах российского электронного правительства было выявлено 62 уязвимости. Большинство из них — некритичные. Об этом CNews сообщили представители Минцифры.
Платные охотники за уязвимостями багхантеры борются за приз до одного млн руб. Пока максимальная сумма вознаграждения составила 500 тыс. руб., минимальная — 5 тыс. руб.
Поиском занимаются 14 тыс. зарегистрированных пользователей платформ BI.ZОNE Bug Bounty и Standoff 365 Bug Bounty.
О начале второго этапа Bug Bounty Минцифры заявило в ноябре 2023 г.
Вознаграждение зависит от степени опасности найденной уязвимости: низкая — до 30 тыс. руб.; средняя — до 100 тыс. руб.; высокая — до 300 тыс. руб.; критическая — до одного млн руб.
Багхантеры проверяют «Госуслуги», Единую систему идентификации и аутентификации, Единую биометрическую систему, Платформу обратной связи, Систему межведомственного электронного взаимодействия, Национальную систему управления данными, Единую информационную систему управления кадровым составом государственной гражданской службы, Головной удостоверяющий центр, Единую систему нормативной справочной информации, «Госвеб».
Первое тестирование
Первый этап Bug Bounty проходил с февраля по май 2023 г., как писал CNews осенью 2023 г. Тогда более восьми тыс. человек проверяли на прочность «Госуслуги» и Единую систему идентификации и аутентификации. Было выявлено и устранено 37 уязвимостей, большинство из которых — со средним и низким уровнем критичности. Максимальная выплата за найденную ошибку составила 350 тыс. руб., минимальная — 10 тыс. руб. Общая сумма вознаграждений составила 1,95 млн руб.
«Инициатива в первую очередь связана с нехваткой кадров и компетенций. И, конечно же, с осознанием, что против России ведется кибервойна и требуется усилить оборону и закрыть бэкдоры и дыры», — сказала тогда «Известиям» руководитель перспективных проектов в области информационной безопасности Фонда «Сколково» Оксана Ульянинкова.
Пентесты от Минцифры
О планах Минцифры запустить эту программу по поиску уязвимостей государственных информационных систем стало известно в январе 2023 г.
Но еще в конце марта 2022 г. после обрушившейся волны кибератак на российскую инфраструктуру ведомство предложило оказывать финансовую поддержку «белым» хакерам.
Министерство работало также над легализацией деятельности «этичных» хакеров — рассматривало возможность введения понятия bug bounty в правовое поле.
В марте 2022 г. оно опубликовало на своем сайте предложение профессиональному сообществу протестировать и поддержать финансово проведение пентестов (анализ системы на наличие уязвимостей) и Bug Bounty (выплата вознаграждения за обнаружение уязвимостей).
Платформа Standoff 365 Bug Bounty от Positive Technologies была запущена в мае 2022 г.
Релиз платформы BI.ZONE Bug Bounty состоялся 25 августа 2022 г.
В конце марта 2023 г. Минцифры зарегистрировало BI.ZONE Bug Bounty, которая связывает компании и багхантеров, в реестре отечественного ПО. Теперь платформа официально входит в число продуктов, которые могут использовать компании с государственным участием.