Министерство цифрового развития РФ запланировало реализацию ещё одной программы поиска уязвимостей Bug Bounty, которая будет охватывать девять различных сервисов ведомства, не включая «Госуслуги». Платформы для выявления уязвимостей за денежные вознаграждения предоставят отечественные профильные компании Positive Technologies и BI.ZONE с максимальным размером выплат до 1 млн. рублей, сообщает издание «Коммерсант».
По информации журналистов «Коммерсант», поиск уязвимостей будет организован Министерством цифрового развития в нескольких ключевых системах ведомства, в том числе в Единой биометрической системе, Единой системе идентификации и аутентификации, Единой системе нормативной справочной информации.
Первая программа поиска уязвимостей Bug Bounty была запущена Министерством цифрового развития РФ на портале госуслуг в начале 2023 года. Проект завершился в течение трёх месяцев. На текущий момент известно, как отмечают журналисты «Коммерсанта», что программа Bug Bounty в отношении других сервисов министерства будет запущена с участием тех же партнёров и продлится 12 месяцев.
Денежное вознаграждение за обнаружение каждой серьёзной уязвимости в ЕБС, ЕСИА и других системах Минцифры РФ, найденной белыми хакерами, будет достигать одного миллиона рублей. Размер вознаграждения будет определяться в зависимости от критичности выявленной ошибки.
По результатам первой программы Bug Bounty, в рамках которой специалисты по информационной безопасности искали уязвимости на госуслугах, было выявлено 34 серьёзных уязвимости. В проекте участвовали около 8400 специалистов. Максимальный размер денежного вознаграждения за обнаруженную уязвимость среднего и низкого уровня опасности тогда составил 350 тысяч рублей, а минимальный размер выплаты – 10 тысяч рублей.
Артём Бруданин, руководитель направления кибербезопасности RTM Group:
“Использование Bug Bounty с целью выявления уязвимостей, безусловно, приносит свои плоды во всем мире. Заказчик платит за фактически обнаруженные бреши во внешнем периметре своих информационных систем.
К сожалению, в России практика “багхантинга” не сильно развита и популярна. Причин тут несколько: во-первых, не все организации готовы публиковать свои ресурсы в открытый доступ, чтобы их мог атаковать любой желающий, а затем ещё и заклеймить этот ресурс пометкой “была обнаружена критическая уязвимость”; во-вторых, непонятки и со стороны атакующих – в РФ до сих пор официально не легализовали Bug Bounty – 272 ст. УК РФ никто не отменял. Минцифры что-то пытались с этим сделать, но воз и ныне там. Конечно можно сказать, что раз организация добровольно предоставляет свои ресурсы для атак, то не может идти никакой речи об уголовных преследованиях, но на практике не всегда все так – иногда всего одна уязвимость может привести к серьезному ущербу для организации.
Инициатива расширения Bug Bounty полезна для процесса усиления защиты информационной инфраструктуры РФ, но нужно грамотно использовать доступные ресурсы: решить вопросы с законодательством, тщательно готовить зоны тестирования, учитывая риски, что найденные уязвимости могут быть проданы в даркнете и оперативно заэксплуатированы уже black-hat хакерами, а также справедливо подходить к выплатам за найденные уязвимости”.
Александр Герасимов, CISO Awillix:
“Решение Министерства цифрового развития РФ о расширении программы Bug Bounty на дополнительные девять сервисов, помимо уже проверенного портала «Госуслуг», является важным шагом в обеспечении информационной безопасности на государственном уровне. Программы Bug Bounty, предусматривающие привлечение так называемых “белых” хакеров для поиска уязвимостей в системах за вознаграждение, играют ключевую роль в обеспечении безопасности информационных технологий.
Преимущества такого подхода многочисленны:
- Во-первых, он позволяет выявлять и устранять уязвимости до того, как они будут эксплуатироваться злоумышленниками. Это критически важно для государственных сервисов, так как они часто обрабатывают конфиденциальные данные граждан и имеют большое значение для функционирования ключевых государственных процессов.
- Во-вторых, программы Bug Bounty способствуют укреплению общей культуры безопасности. Привлечение внешних экспертов для тестирования систем позволяет получить новый взгляд на существующие защитные механизмы и выявить потенциальные “слепые зоны”, которые могли быть упущены внутренними командами безопасности.
- Третий аспект – это развитие сообщества специалистов по информационной безопасности. Программы Bug Bounty привлекают к участию множество специалистов, в том числе тех, кто может не иметь официальной занятости в данной сфере, но обладает высокими навыками и компетенциями. Это способствует не только выявлению уязвимостей, но и общему развитию отрасли кибербезопасности.
Сообщение о том, что в рамках первой программы было выявлено 34 серьезных уязвимости и что в проекте участвовали около 8400 специалистов, демонстрирует не только потенциальные угрозы, но и эффективность подобных инициатив. Ответственный и систематичный подход к обнаружению и устранению уязвимостей свидетельствует о высоком уровне зрелости процессов информационной безопасности в Минцифры РФ.
Преимущества такого подхода многочисленны. Он позволяет выявлять и устранять уязвимости до того, как они будут эксплуатироваться злоумышленниками. Это критически важно для государственных сервисов, так как они часто обрабатывают конфиденциальные данные граждан и имеют большое значение для функционирования ключевых государственных процессов.
Минцифры организовало и профессионально выполняло триаж багов и сделали хорошие выплаты багхантерам. Участники отмечают, что работать с ними приятно, как со стороны багхантеров, так и самих платформ багбаунти. На западе много лет это реализовано через платформу hackerone. Это хорошая практика для того, чтобы обнаружить low hanging fruits до того, как их обнаружат злоумышленники.
Это справедливое и ответственное решение, положительное влияние которого на сервисы в целом уже продемонстрировано ГосУслугами. Путем проб и ошибок они поняли важность bb и теперь популяризируют это на госуровне. Возможно, когда-нибудь будет действительно хороший уровень сервисов не только функционально, но и с точки зрения ИБ”.
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT:
“Использование программ Bug Bounty для проверки защищённости внешних сервисов, предоставляемых гражданам, является отличной тенденцией и хорошим дополнением к традиционному тестированию на проникновение, которое проводится в рамках конкурсных процедур.
Изначально программы Bug Bounty предоставляют разумную альтернативу как единичным белым хакерам, так и просто энтузиастам в области безопасности, которые могут найти недочёты в защите важных внешних сервисов. Такие инициативы как Bug Bounty для государственных и коммерческих сервисов, решают сразу несколько задач. Специалисты по кибербезопасности, принявшие участие в программе, смогут сообщить о найденных недостатках и получить денежное вознаграждение, а для заказчиков – это возможность на практике проверить свою защиту и минимизировать риск успешных реальных атак”.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.