Минцифры будет проверять защищенность «Госуслуг» сразу на двух площадках
Но платить за найденные уязвимости ведомство не собирается
Для поиска уязвимостей на портале «Госуслуги» Минцифры привлекло компании Positive Technologies и «Киберполигон». Об этом «Ведомостям» рассказали представители обеих компаний, информацию подтвердил представитель ведомства. При этом со своей стороны выплачивать вознаграждения белым хакерам, обнаружившим уязвимости, Минцифры не намерено, следует из ответа его представителя «Ведомостям».
Минцифры с июля прорабатывает возможность ввести понятие Bug Bounty (поиск уязвимостей волонтерами за вознаграждение) в правовое поле, чтобы легитимизировать работу белых хакеров в том числе в госсистемах, писали «Ведомости». В начале октября глава ведомства Максут Шадаев заявил, что Минцифры планирует проверять защищенность портала «Госуслуги». Сейчас ведомство согласовывает общую концепцию с другими органами исполнительной власти, рассказал представитель Минцифры.
«Обращаем внимание, что предоставление Bug Bounty платформ – это инициатива самих компаний, которая на текущем этапе не предусматривает денежного вознаграждения от Минцифры», – уточнил он, добавив, что доступ к программе открыт для всех участников на равных условиях. Чтобы присоединиться к проекту, компания «должна обладать релевантным опытом и надежной репутацией экспертов ИБ (информационной безопасности) в отрасли», пояснил он.
Сейчас уровень защищенности «Госуслуг» достаточно высок, отмечает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Но ухудшить ситуацию могло попадание в руки хакеров исходного кода и закрытых ключей регионального портала «Госуслуг» Пензенской области в конце 2021 г., добавляет он. По словам Оганесяна, крупных утечек данных из сервиса в этом году не было, но небольшие базы – до нескольких сотен учетных записей – присутствуют на черном рынке постоянно. Чаще всего их получают после взломов пользователей, например при помощи программы-стиллера, объяснил он.
Что такое Bug Bounty
Программа Bug Bounty – это процесс привлечения бизнесом внештатных исследователей кибербезопасности к проверке своего программного обеспечения, веб-приложений и инфраструктуры с условием выплаты вознаграждения за выявленные уязвимости. Аналитики платформы HackerOne подсчитали, что в 2021 г. количество программ Bug Bounty увеличилось на 34% по сравнению с 2020 г., а исследователи безопасности выявили на 21% больше уязвимостей за аналогичный период. К 2027 г. мировой рынок Bug Bounty может вырасти до $5,4 млрд, говорится в исследовании AllTheResearch.
Чтобы принять участие в поиске уязвимостей на портале, белый хакер должен будет зарегистрироваться на одной из платформ-партнеров. Руководитель продукта Standoff 365 Bug Bounty Positive Technologies Ярослав Бабин сообщил, что компания уже отладила механизмы публикации программ. «Поэтому с нашей стороны сложности [с запуском] не предвидим», – добавил он.
Бабин считает, что белые хакеры будут готовы искать уязвимости и без оплаты, потому что их «привлекают интересные задачи и для них важен опыт и рейтинг на платформе». Это, по его словам, может стать одним из решающих факторов для приглашения в закрытые программы других клиентов или для найма на работу.
По мнению Оганесяна, багхантеры не станут работать бесплатно. «Такая программа либо не привлечет внимания вовсе, либо ее участники будут пользоваться предоставленными им возможностями в своих интересах, например продавать найденные уязвимости в даркнете», – говорит он.
Лука Сафонов, гендиректор компании «Киберполигон», которая развивает платформу Bug Bounty Ru, заявил, что в случае с «Госуслугами» компания готова самостоятельно платить багхантерам. «Естественно, это будут не сотни миллионов, по мере возможностей условно 100 000 руб. за уязвимость», – объяснил он. По его словам, запуску программы мешает то, что Минцифры еще не согласовало скоуп (разрешенную область действий. – «Ведомости») и правила участия. Более того, ведомство должно сформировать техническую комиссию для приема и закрытия багов, говорит он.
От участия в программе многих отпугнет риск оказаться в поле зрения госструктур, добавляет Сафонов. По его словам, остался нерешенным вопрос с легализацией багхантеров, действия которых могут подпасть под ст. 272 УК РФ (неправомерный доступ к компьютерной информации). Одной из важнейших задач Минцифры будет донесение информации о том, что участие в их программе безопасно для багхантеров и не понесет никаких последствий, добавляет источник «Ведомостей» на рынке кибербезопасности.
Cпециалист может работать с правообладателем ПО как по трудовому договору, так и на условиях договора оказания услуг, объясняет адвокат КА Pen & Paper Виктор Рыков. В данном случае речь, вероятно, идет о Минцифры или об уполномоченном операторе площадки «Госуслуг», считает он. Пределы разрешенного вмешательства в программный код площадки должны быть четко предусмотрены договором, продолжает юрист, и, если у специалиста возникают сомнения, разрешены ли его действия, лучше консультироваться с заказчиком. Что касается риска внимания со стороны силовых структур, он сохраняется всегда, заключает Рыков.
Представитель BI.ZONE, третьей компании, которая запустила свою Bug Bounty платформу, не ответил на запрос «Ведомостей». Представитель «Ростелекома», который является оператором «Госуслуг», заявил «Ведомостям», что компания не причастна к этой инициативе.