Минцифры заплатит до 1 млн рублей за обнаружение уязвимостей на "Госуслугах" и в ЕСИА
Министерство запустило программу bug bounty для поиска ошибок в госинформсистемах
Москва. 10 февраля. INTERFAX.RU - Минцифры объявило, что запустило программу bug bounty (выплата вознаграждения за обнаружение уязвимостей) для поиска "тонких мест" в двух госинформсистемах - на портале Госуслуг и в Единой системе идентификации и аутентификации (ЕСИА).
"Исследователи (багхантеры, сторонние специалисты, принимающие участие в программе bug bounty - ИФ) будут действовать по установленным правилам, - говорится в сообщении. - Работа на платформе позволит определить логику потенциальных хакеров, эта информация будет использована для дополнительной защиты электронного правительства".
Сама программа bug bounty будет проводиться на соответствующих площадках "Группы Позитив" (головная компания группы Positive Technologies, занимающейся разработкой решений в области информационной безопасности) и BI.ZONE (дочерняя структура Сбербанка в сфере информационной безопасности) - Standoff 365 Bug Bounty и BI.ZONE Bug Bounty.
За обнаруженные уязвимости на портале Госуслуг и в ЕСИА багхантеры будут получать то или иное вознаграждение - в зависимости от степени критичности ошибки. Максимальное вознаграждение составит 1 млн рублей.
Весной 2022 года, после значительного увеличения числа хакерских атак на информресурсы российских компаний и госорганов Минцифры предложило профессиональному сообществу обсудить возможность финансовой поддержки тестов на наличие уязвимостей в информационных системах. Кроме того, ведомство просило крупные компании в рамках оперативного штаба по обеспечению информбезопасности протестировать технологию и механику внедрения пентестов (анализ системы на наличие уязвимостей) и bug bounty.
По данным Positive Technologies, в I квартале 2022 года количество атак, направленных на госучреждения, увеличилось практически в два раза по сравнению с IV кварталом 2021 года и продолжало расти в течение всего года. Госучреждения столкнулись с наибольшим количеством кибератак среди организаций - на них пришлось 17% от общего числа, что на 2 процентных пункта больше, чем в 2021 году. Всего за 2022 год было зафиксировано 403 атаки, что на 25% больше, чем за 2021 год.
В октябре глава Минцифры Максут Шадаев сообщал, что планирует объявить программу bug bounty до конца года. В декабре министерство согласовало её условия с BI.ZONE и Positive Technologies.
Сейчас в России действуют три основные платформы для проведения программ bug bounty - BugBounty.ru, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty. На двух последних, запущенных в середине прошлого года, к настоящему времени запущено по 41 такой программе.
