Минцифры России впервые привлечет широкий круг независимых специалистов по безопасности для проведения масштабного тестирования защищенности ресурсов электронного правительства. Багхантеры протестируют Госуслуги и единую систему идентификации и аутентификации (ЕСИА). Максимальное вознаграждение за найденные уязвимости составит 1 000 000 рублей. 10 февраля 2023 года соответствующая программа запущена на платформе Standoff 365 Bug Bounty, разработанной компанией Positive Technologies.
В I квартале 2022 года количество атак, направленных на госучреждения, увеличилось практически в два раза по сравнению с последним кварталом 2021-го и продолжало расти в течение всего года. Государственные учреждения столкнулись с наибольшим количеством кибератак среди организаций: их доля от общего числа атак составила 17%, это на 2 п. п. больше, чем в 2021 году. Всего за 2022 год было зафиксировано 403 атаки, что на 25% больше, чем за 2021 год.
Действия злоумышленников в каждой третьей атаке приводили к утечке конфиденциальной информации, в том числе персональных данных. Тестирование госинформсистем с привлечением независимых экспертов позволит не только усилить безопасность этих систем, но и укрепить доверие граждан к цифровым сервисам.
На первом этапе в проекте примут учаcтие Госуслуги и единая система идентификации и аутентификации. Все действия исследователей будут регулироваться заранее установленными правилами. Цель проекта — отследить логику и пути взлома, применяемые этичными хакерами, и использовать полученную информацию для усиления защищенности госинформсистем.
За найденные уязвимости исследователи смогут получить до 1 000 000 рублей в зависимости от уровня их опасности. По итогам этого этапа программа может быть масштабирована и на другие ресурсы.
«Поиск и исправление уязвимостей являются крайне важными для обеспечения безопасности и доверия граждан. Багбаунти позволяет на практике убедиться в реальной защищенности любой информационной системы благодаря участию большого количества этичных хакеров с разным опытом и навыками. Мы убеждены, что наше сотрудничество с Минцифры докажет и другим государственным организациям эффективность багбаунти в обеспечении безопасности любых онлайн-систем», — сказал Ярослав Бабин, директор продукта Standoff 365.
Тренд на проведение багбаунти для государственных систем в целом актуален для многих стран. Организации в разных частях мира — от США и Британии до стран Евросоюза и Азии — в течение последних лет проводили собственные багбаунти, чтобы усилить защищенность своих информсистем. На данный момент более трех десятков программ по поиску уязвимостей за вознаграждение в системах госсектора размещены на различных платформах, и их количество увеличилось на 13% за последний год.
Standoff 365 Bug Bounty (bugbounty.standoff365.com) от Positive Technologies начала действовать в мае 2022 года. За первые полгода работы этой платформы от багхантеров было получено 1050 отчетов, найдено и исправлено 260 уязвимостей, а сумма вознаграждений исследователям превысила 14 млн рублей. По числу участников и программ Standoff 365 Bug Bounty стала лидером среди российских аналогов: на ней зарегистрировалось уже 3500 человек, запущено 44 программы.