Минцифры планирует до конца 2023 г. запустить годовую программу тестирования «Госуслуг» и еще девяти информационных сервисов «белыми» хакерами. Министерство выступило с инициативой платить за обнаружение уязвимостей весной 2022 г. на фоне усиления кибератак и дефицита российский кадров.

Проверка на уязвимости

 Минцифры планирует до конца 2023 г. запустить программу тестирования информационных систем «белыми хакерами» Bug Bounty. Как стало известно «Коммерсанту», поиск уязвимостей будет развернут на «Госуслугах» и девяти собственных сервисах министерства — в Единой биометрической системе, Единой системе идентификации и аутентификации, Единой системе нормативной справочной информации и др.

 Платформы для поиска уязвимостей за вознаграждение предоставят Positive Technologies и BI.Zone. Срок действия программы — один год. Выплата за каждую серьезную уязвимость, которую обнаружит «белый хакер», может достигать 1 млн руб. в зависимости от значимости.

Минцифры за «белых» хакеров

 Минцифры в марте 2022 г. опубликовало на своем сайте предложение профессиональному сообществу протестировать и поддержать финансово проведение пентестов (анализ системы на наличие уязвимостей) и Bug Bounty (выплата вознаграждения за обнаружение уязвимостей).

«Инициатива в первую очередь связана с нехваткой кадров и компетенций. И, конечно же, с осознанием, что против России ведется кибервойна и требуется усилить оборону и закрыть бэкдоры и дыры», — сказала тогда «Известиям» руководитель перспективных проектов в области информационной безопасности Фонда «Сколково» Оксана Ульянинкова.

«Программы Bug Bounty используются крупными корпорациями, такими как Google, Microsoft, и другими, для поиска уязвимостей в своих продуктах. Также, например, и Агентство национальной безопасности США использует «белые шляпы», — отметила эксперт.

«Госуслуги» уже проверяли

 Первое тестирование «Госуслуг», как сообщало Минцифры, завершилось в мае 2023 г., было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности. Максимальная выплата за найденную ошибку составила 350 тыс. руб., минимальная — 10 тыс. руб. Спонсором проекта выступил «Ростелеком».

 Работа исследователей помогла улучшить систему безопасности «Госуслуг», но при этом доступа к внутренним данным у багхантеров не было, говорится на сайте синистерства. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365.

 В конце марта 2023 г. Минцифры зарегистрировало BI.ZONE Bug Bounty в реестре отечественного ПО. Теперь платформа официально входит в число продуктов, которые могут использовать компании с государственным участием.

Источник:https://www.cnews.ru/news/top/2023-11-09_mintsifry_zaplatit_belym

Для комментирования вы должны авторизоваться.