Минцифры разрабатывает госпрограмму выплат вознаграждения «белым хакерам» за обнаружение уязвимостей
Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) России считает необходимым закрепить государственные тарифы на выплаты за участие «белых хакеров» в Bug Bounty, программе по поиску уязвимостей в ИТ-системах за вознаграждение. Участники рынка приветствуют предложение министерства, но указывают, что заинтересовать программистов работой с госсектором можно будет, только если тарифы на участие в Bug Bounty будут не ниже рыночных. Это позволит «белым» хакерам проанализировать ИТ-системы на наличие «дыр» и получить за это вознаграждение.
Внедрения государственных тарифов
В Минцифры России считают необходимым закрепить государственные тарифы на выплаты за участие «белых хакеров» в Bug Bounty, об этом пишет «Коммерсант». Участники рынка приветствуют предложение министерства, но указывают, что заинтересовать программистов работой с госсектором можно будет, только если тарифы на участие в программе будут не ниже рыночных.
Bug Bounty - это программа, в рамках которой компании платят людям за обнаружение проблем в их программном обеспечении (ПО), продукте или ИТ-инфраструктуре. Участников программы называют «белыми хакерами» или «охотники за ошибками», обычно это специалисты по кибербезопасности. В обмен на поиск уязвимостей они получают денежные вознаграждения, признание или другие виды вознаграждений в зависимости от серьезности найденных багов. Цель их работы — помощь разработчикам в обеспечении защищенности программных ИТ-решений.
Весной 2022 г., после значительного увеличения числа хакерских атак на информресурсы российских компаний и госорганов Минцифры России предложило профессиональному сообществу обсудить возможность финансовой поддержки тестов на наличие уязвимостей в информационных системах. Кроме того, ведомство просило крупные компании в рамках оперативного штаба по обеспечению информбезопасности протестировать технологию и механику внедрения пентестов (анализ ИТ-системы на наличие уязвимостей) и Bug Bounty.
Со слов замминистра Минцифры России Александра Шойтова, это одна из мер, направленных на нормализацию процедуры. Сейчас многие федеральные и региональные органы власти используют соответствующую программу, однако пока ее не делают обязательной, как это предлагают некоторые участники рынка. Шойтов отметил и то, что еще необходимо обосновать эффективность программы Bug Bounty, а также определить зоны ответственности участников тестирования. Для введения ее как обязательной процедуры программу необходимо нормализовать, в частности ввести государственные тарифы.
По информации «Коммерсант», в министерстве также обсуждают различные варианты с ведомствами и отраслью. Введение тарифов необходимо, чтобы стандартизировать Bug Bounty, объясняет коммерческий директор «Кода Безопасности» Федор Дбар и добавляет, что тарифы нужны еще и с учетом того, что сама программа может стать обязательной для критической информационной инфраструктуры (КИИ) и госорганов. Уверен, что тарифы учтут не только интересы бизнеса, но и доходные ожидания сторонних команд, которые участвуют в Bug Bounty и ищут уязвимости в ИТ-инфраструктуре.
Технический директор «Гарда WAF» Лука Сафонов сообщил, что речь идет о разработке сетки тарифов по федеральным округам и отдельной для общероссийских сервисов типа «Госуслуг». Сафонов уточняет, что по федеральным округам суммы выплат могут составить 30–50 тыс. руб. за критические уязвимости, для сервисов - до 1 млн руб.
Введение государственных тарифов оценивается участниками рынка положительно. Бизнес сам может определять тарифы на подобную деятельность. Когда речь заходит про государственные системы, вопрос тарифообразования должен быть унифицирован, считает директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков.
По словам гендиректор компании «Интернет-розыск» Игоря Бедерова, оценивая риски, связанные с введением тарифов. Бедеров указывает, что участники Bug Bounty могут потерять стимул к работе с уязвимостями, если фиксированная цена за их выявление не будет соответствовать реальному масштабу их значимости. А также не будет отражать динамику рынка, где стоимость услуг по информационной безопасности (ИБ) оценивается высоко в настоящее время.
62 найденные уязвимости в госсистемах
По данным Минцифры, почти 14 тыс. багхантеров в рамках второго этапа программы Bug Bounty нашли 62 уязвимости в государственных информационных системах, большинство из них - некритичные. Максимальная сумма вознаграждения составила 500 тыс. руб., минимальная - 5 тыс. руб. По данным ведомства, системы электронного правительства проверяют на прочность почти 14 тыс. багхантеров, которые борются за вознаграждение до 1 млн руб.
В Минцифры России уточнили, что «белые хакеры» сейчас проверяют: портал «Госуслуги», Единую систему идентификации и аутентификации (ЕСИА), Единую биометрическую систему (ЕБС), Платформу обратной связи, Систему межведомственного электронного взаимодействия (СМЭВ), Национальную систему управления данными (НСУД), Единую информационную систему управления кадровым составом государственной гражданской службы, Головной удостоверяющий центр, Единую систему нормативной справочной информации; Госвеб.
Первый этап Bug Bounty проходил с февраля по май прошлого года и тогда более 8 тыс. человек проверяли на прочность «Госуслуги» и ЕСИА. Было выявлено и устранено 37 уязвимостей, а общая сумма вознаграждений составила 1,95 млн руб. Уже 10 ноября прошлого года ведомство сообщило о старте второго этапа программы - который должен продлиться год и затронуть все ИТ-системы электронного правительства. Для того чтобы принять участие в программе нужно было зарегистрироваться на платформе BI.ZОNE Bug Bounty или Standoff 365 Bug Bounty, ознакомиться с условиями программы и согласиться с ними, найти уязвимость, отправить данные об уязвимости через ИТ-платформу и дождаться подтверждения от ведомства.