«Госуслуги» и ресурсы Правительства проверят на уязвимость

Минцифры запускает проект по поиску уязвимостей в «Госуслугах» и других ресурсах электронного правительства. Программа пройдёт в несколько этапов. На первом независимые исследователи проверят портал госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На следующих этапах список ресурсов будет расширен, а условия — обновлены.

За успешную работу багхантеры могут получить до миллиона рублей. Программу спонсирует «Ростелеком».

Вознаграждение зависит от степени уязвимости:

• низкая — подарки с символикой проекта;
• средняя — до 50 тыс. рублей;
• высокая — от 50 до 200 тыс. рублей;
• критическая — до 1 млн рублей и благодарность от команды Минцифры.

Тестирование доступно на платформах BI.ZONE и Positive Technologies.

Принять участие в программах могут граждане России. Возраст участников на BI.ZONЕ Bug Bounty — от 18 лет, на Standoff 365 Bug Bounty можно участвовать с 14 лет, если есть письменное согласие родителей.

Для участия нужно:

1. Зарегистрироваться на выбранной платформе.
2. Ознакомиться и согласиться с условиями программы.
3. Найти уязвимость, не нарушая правил.
4. Отправить информацию об уязвимости через платформу.
5. Дождаться подтверждения уязвимости от Минцифры.

Исследователи будут действовать по установленным правилам. Работа на платформе позволит определить логику потенциальных хакеров, эта информация будет использована для дополнительной защиты электронного правительства.

О площадках:

BI.ZONE Bug Bounty связывает организации и независимых исследователей безопасности. На ней компании размещают программы по поиску уязвимостей, в которых участвуют багхантеры — независимые исследователи. Они получают денежное вознаграждение от владельцев программ за найденные уязвимости. Этот подход позволяет привлечь широкий круг специалистов к поиску слабых мест в системе безопасности.

Презентация BI.ZONЕ состоялась в августе на международной конференции по практической кибербезопасности OFFZONE 2022. На платформе действует 41 публичная программа. Среди них программы VK, «Авито», Ozon и «Тинькофф».

«Идея bug bounty и сама инициатива ведомства нацелены на то, чтобы популяризировать кибербезопасность, а также привлечь к этому механизму по поиску уязвимостей внимание госсектора и частных компаний. Для багхантеров программа Минцифры — это возможность проявить себя в первом государственном проекте bug bounty, который касается целой страны, а не только отдельной компании», — говорит Евгений Волошин, директор по стратегии, директор департамента анализа защищённости и противодействия мошенничеству BI.ZONЕ.

Standoff 365 Bug Bounty от Positive Technologies. Платформу запустили в мае 2022 года. За шесть месяцев работы платформы Standoff 365 Bug Bounty багхантеры прислали 860 отчётов, найдены и исправлены более 190 уязвимостей, за которые участникам назначено вознаграждение в размере более 11 млн рублей. По числу участников и программ платформа стала лидером среди российских аналогов: на ней зарегистрировались уже 3400 человек, запущена 41 программа.

«Поиск и исправление уязвимостей является крайне важным для обеспечения безопасности и доверия граждан. Bug bounty позволяет на практике убедиться в реальной защищённости любой информационной системы благодаря участию большого количества этичных хакеров с разным опытом и навыками. Мы убеждены, что наше сотрудничество с Минцифры докажет эффективность bug bounty и для других государственных организаций и сервисов для обеспечения безопасности всех национальных онлайн-систем», — отмечает Ярослав Бабин, директор продукта Standoff 365.