Проверка показала киберустойчивость федеральной системы ДЭГ

Москва. 25 августа. INTERFAX.RU - Федеральная система онлайн-голосования (ДЭГ) после проверки кибербезопасности и устранения выявленных уязвимостей максимально защищена и готова к выборам, заявил директор Центра мониторинга и реагирования на кибератаки "Ростелеком-Солар" Владимир Дрюков.

По его словам, "белые хакеры" в рамках программы bug bounty (программа привлечения сторонних специалистов для проверки киберустойчивости) выявили всего три уязвимости в ДЭГ, две из которых устраняются внешним контуром ее защиты, а третья настройкой конфигурации.

В целом тестирование системы ДЭГ длилось около двух месяцев, финальная стадия - bug bounty - три дня на платформе компании Positive Technologies и завершилась накануне.

"Приходя на платформу, мы понимали, что мы вовлекаем уже финальную линию обороны - это комьюнити. По итогам работы сообщества более ста специалистов было выявлено три, я бы назвал их, значимыми недостатками конфигурации, которые присутствуют (в системе ДЭГ - ИФ)",- сказал Дрюков.

Он пояснил, что процедура bug bounty подразумевает, что система остается для проверки на уязвимости "белыми хакерами" чистой, то есть без использования наложенных средств защиты. Всего было подано 20 отчетов от участников.

"Две из выявленных проблем конфигурирования закрывались наложенными средствами защиты, поэтому были неактуальными для "боевого" режима (работы системы - ИФ). Третьей проблемой была настройка конфигураций, которая, спасибо коллегам, остались с нагрузочного тестирования, проводимого до этого, и мы смогли ровно в этом режиме технической проверки (ее - ИФ) скорректировать, и привести систему в тот режим, который на текущем этапе мы считаем максимально оптимальным и максимально защищённым для проведения мероприятий (онлайн-голосования - ИФ) уже через 10 дней",- сказал Дрюков.

Через несколько часов после подачи отчетов хакеров систему перевели в состояние киберустойчивости.

Общий призовой фонд составляет 2 млн рублей. По мнению Дрюкова, полностью он израсходован не будет, потому что выявленные уязвимости относятся к среднему уровню критичности. В bug bounty могли участвовать только граждане России, которые обязательно должны были предоставить организаторам паспортные данные.

Директор по работе с ПАО "Ростелеком" Positive Technologies Александр Стихин сообщил, что площадка компании, где проводилось bug bounty, позволяет привлечь широкий круг специалистов для проверки систем и приложений.

"В данном случае наша задача (была)... убедиться в неизменяемости данных, в том, что все действительные данные собраны, они не искажены, они используются для принятия решений исполнительными органами власти и Центральной избирательной комиссией, в частности, при подведении итогов голосования",- сказал Стихин и отметил, что не все задачи по защите собранных данных можно решить при помощи криптографических алгоритмов, "потому что данные могут быть изменены и потом только зашифрованы".

По словам Стихина, компания заинтересована в развитии своей багбаунти-площадки и в привлечении на нее "белых хакеров" из Латинской Америки, Африки, Юго-Восточной Азии. "Например, очень много специалистов из Индии и Китая хотели бы работать с нашей площадкой. Однако в проектах такого типа часто есть некоторое ограничение, потому что для проверки (государственных информационных) систем, например, информсистемы ЦИК, нередко требуется, чтобы те эксперты, которые их проверяют были российскими гражданами и находились на территории страны", — сказал Стихин.

На сентябрьских выборах онлайн-голосование пройдет в 25 регионах, 24 из них используют федеральную систему дистанционного электронного голосования, разработанную "Ростелекомом", Москва - собственную.