С 12 декабря на платформе Standoff 365 Bug Bounty появилась первая программа багбаунти от субъекта Российской Федерации. Правительство Московской области запустило краткосрочную программу для оценки защищенности одной из важнейших информационных систем региона — портала государственных и муниципальных услуг (uslugi.mosreg.ru). Чтобы сделать этот сервис надежнее, выявлением уязвимостей займутся 8 тысяч зарегистрированных на Standoff 365 исследователей безопасности. За обнаруженные баги участники смогут получить до 150 тысяч рублей.
По данным Positive Technologies, за последние два года число расследований инцидентов увеличилось болеечем в два раза, а каждая четвертая атака приходилась именно на государственные учреждения. Госсектор — крупная и выгодная мишень для злоумышленников, поскольку учреждения этой сферы создают, контролируют и эксплуатируют критически важную инфраструктуру, а также аккумулируют, передают и хранят большие объемы конфиденциальных данных.
Запущенный в 2012 году портал госуслуг Московской области — одна из самых посещаемых онлайн-площадок в Подмосковье: свыше 77% всех жителей региона имеют на нем подтвержденные учетные записи. Ежемесячно портал, на котором сегодня доступно более 300 электронных услуг, посещают около 4 миллионов человек.
«У нас уже есть успешный опыт проведения программ поиска уязвимостей в системах электронного правительства на федеральном уровне, — рассказал Анатолий Иванов, руководитель направления багбаунти Standoff 365. — В начале года Минцифры России запустило багбаунти на короткий срок для тестирования Госуслуг и ЕСИА. В итоге было обнаружено 34 уязвимости в основном среднего и низкого уровня опасности. В августе наши исследователи проверяли систему дистанционного электронного голосования. А в ноябре Минцифры разместило вторую часть программы: на этот раз количество сервисов выросло до девяти, а срок увеличился до года. Теперь на платформе появилась и программа для портала госуслуг Подмосковья. Вообще во многих странах мира наблюдается тренд на проведение багбаунти для государственных систем, поскольку госсектор — самая атакуемая сфера. В России госсектор также может стать драйвером запуска публичных программ по поиску уязвимостей».
Багбаунти Московской области продлится до 29 декабря 2023 года. Принять участие в ней могут граждане России старше 18 лет. Подробные условия — на сайте Standoff 365.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
