СМИ: Минцифры будет проверять защищённость «Госуслуг» на двух площадках багбаунти, но без оплаты исследователям
По данным источников СМИ, Минцифры будет проверять защищённость «Госуслуг» сразу на двух российских площадках для выплат вознаграждений этичным хакерам за поиски уязвимостей в ПО и IT-системах госплатформы. Это площадки багбаунти от Positive Technologies и «Киберполигона». Платить исследователям за обнаруженные баги и уязвимости Минцифры не будет.
Предполагается, что денежные вознаграждения белых хакерам всё же будут предоставляться, но уже напрямую от самих площадок в рамках увеличения опыта экспертов и проверки уровня защищённости «Госуслуг».
Представитель Минцифры пояснил СМИ, что на данном этапе это инициатива самих ИБ-компаний, которая на текущем этапе не предусматривает денежного вознаграждения от госведомства, а доступ к этой программе будет открыт для всех участников на равных условиях.
Эксперты отрасли пояснили СМИ, что уровень защищённости портала «Госуслуг» достаточно высокий, но там всё равно есть незакрытые ошибки в реализации и проблемы со смежными сервисами, например, уязвимости в передаче данных между региональными порталами «Госуслуг».
Представители ИБ-рынка считают, что исследователи не станут работать бесплатно или в этом случае они всё равно найдут способ монетизировать информацию о найденных проблемах, например, будут продавать отчёты по уязвимостям в даркнете. Для минимизации этих рисков руководители багбаунти-площадок будут сами платить небольшие суммы, а за обнаружение уязвимостей в данном случае белые хакеры будут получать опыт и увеличивать свой личный рейтинг на платформе.
Представители багхаунти-площадок рассказали СМИ, что пока они прорабатывают детали с Минцифры, а ведомство ещё не согласовало разрешённую область действий на портале и правила участия для белых хакеров. По их словам, Минцифры ещё должно сформировать техническую комиссию для приёма и закрытия уязвимостей совместно с разработчиками платформы. В «Ростелекоме», который является оператором «Госуслуг», пояснили СМИ, что не обладают данной информацией и не причастны к инициативе вывести «Госуслуги» на платформы багбаунти.
«Киберполигон» и Positive Technologies запустили в РФ аналог платформы HackerOne в апреле и мае этого года. Эксперты рынка считают, что фактически это российские агрегаторы по поиску уязвимостей, которые, с одной стороны, помогут компаниям, у которых часто возникают бюрократические проблемы по финансированию подобного мероприятия. Также данные платформы помогут самим этичным хакерам избежать обмана и проблем с невыплатами за обнаруженные ими уязвимости, а также текущих ограничений по их работе на зарубежных площадках.
В марте 2022 года HackerOne прекратила сотрудничество с российскими специалистами и багхантерами, заморозив их счета, а также отказалась работать со всеми клиентами из РФ и партнерами, включая уборку из своего сервиса всех совместных проектов с «Лабораторией Касперского».
