Минцифры ищет белых хакеров для поиска и анализа уязвимостей в госсистемах
По информации «Роскомсвободы», Минцифры ищет белых хакеров для поиска и анализа уязвимостей в существующих государственных информационных системах, включая их реализации для мобильных устройств пользователей. Исполнитель по закрытому контракту (по нему нет открытого ТЗ и документов) должен за 150 млн рублей выполнить комплекс работ «по проведению независимого анализа защищенности государственных информационных систем (поиск уязвимостей периметра, проведение тестирования на проникновение), включая мобильные приложения».
Согласно данным тендера, срок окончания заявок 29 ноября.
Исполнитель для участия в конкурсе и в процессе его выполнения должен соблюдать все требования российского законодательства о защите государственной тайны. Вероятно, ему придется заниматься легальным взломом существующей защищенной инфраструктуры, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме.
В извещение закупки указано, что исполнитель до 31 марта 2022 года должен выполнить все работы, причем это он может делать как удаленно у себя в офисе, так и на объектах федеральных органов исполнительной власти РФ, а также подведомственных учреждений, расположенных на территории РФ, из которых сотрудникам исполнителя будет предоставлен специальный доступ к государственным информационным системам.
Эксперты отрасли пояснили «Роскомсвободе», что не все компании в России захотят или смогут выполнить такую задачу в рамках существующих ограничений и возможных последствий. Также они расходятся во мнении, что именно придется взламывать исполнителю — госуслуги на утечку данных, какие-то государственные объекты критической информационной инфраструктуры или дата-центр Роскомнадзора, из которого идет управление техническими средствами противодействия угрозам, установленными на площадках провайдеров по стране.
2 ноября 2021 года Минцифры предложило присвоить Единой биометрической системе (ЕБС) статус государственной информационной системы. Это может быть сделано уже с 30 декабря 2021 года. В этом случае текущая версия цифровой платформы идентификации людей по биометрическим характеристикам будет доработана, получит усиленный контроль со стороны государства и в нее внедрят все необходимые инструменты для защиты от утечек и соблюдения требований информационной безопасности.
7 сентября 2021 года президент ПАО «Ростелеком» Михаил Осеевский заявил, что, как и следовало ожидать по его мнению, хакеры не нашли никаких уязвимостей в процессе двухдневного тестирования системы дистанционного электронного голосования (ДЭГ) 2021. В компании «абсолютно уверены в соответствии требованиям безопасности, эффективности и работоспособности системы» и считают, что «в целом система ДЭГ готова к работе». Призовой фонд хакатона «Охота за уязвимостями на ДЭГ-2021» в 2 млн рублей никому не достался.
