О запуске проекта по поиску уязвимостей в Госуслугах и других ресурсах электронного правительства заявили в Минцифры. Как пояснили в ведомстве, программа пройдёт в несколько этапов. Сначала независимые исследователи проверят портал Госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На следующих этапах будет расширяться список ресурсов и обновляться условия участия. За успешную работу багхантеры (охотники за багами) могут получить до миллиона рублей.
Уровень вознаграждения будет варьироваться в зависимости от их степени уязвимостей:
- низкая — подарки с символикой проекта
- средняя — до 50 тыс. руб.,
- высокая — от 50 до 200 тыс. руб.,
- критическая — до 1 млн ₽ и благодарность от команды Минцифры.
Тестирование доступно на платформах BI.ZONE и Positive Technologies.
«Исследователи будут действовать по установленным правилам. Работа на платформе позволит определить логику потенциальных хакеров, эта информация будет использована для дополнительной защиты электронного правительства», — пояснили в Министерстве.
Как принять участие
Участниками могут стать граждане России. Возраст участников на BI.ZONЕ Bug Bounty — от 18 лет, на Standoff 365 Bug Bounty можно участвовать с 14 лет, если есть письменное согласие родителей.
Что нужно для участия:
- Зарегистрироваться на выбранной платформе
- Ознакомиться и согласиться с условиями программы
- Найти уязвимость, не нарушая правил
- Отправить информацию об уязвимости через платформу
- Дождаться подтверждения уязвимости от Минцифры
О площадках
BI.ZONE Bug Bounty связывает организации и независимых исследователей безопасности. На ней компании размещают программы по поиску уязвимостей, в которых участвуют багхантеры — независимые исследователи. Они получают денежное вознаграждение от владельцев программ за найденные уязвимости. Этот подход позволяет привлечь широкий круг специалистов к поиску слабых мест в системе безопасности.
«Идея bug bounty и сама инициатива ведомства нацелены на то, чтобы популяризировать кибербезопасность, а также привлечь к этому механизму по поиску уязвимостей внимание госсектора и частных компаний. Для багхантеров программа Минцифры — это возможность проявить себя в первом государственном проекте bug bounty, который касается целой страны, а не только отдельной компании», — Евгений Волошин, директор по стратегии, директор департамента анализа защищённости и противодействия мошенничеству BI.ZONЕ.
Standoff 365 Bug Bounty от Positive Technologies запустили в мае 2022 года. За шесть месяцев работы платформы Standoff 365 Bug Bounty багхантеры прислали 860 отчётов, найдены и исправлены более 190 уязвимостей, за которые участникам назначено вознаграждение в размере более 11 млн рублей. По числу участников и программ платформа стала лидером среди российских аналогов: на ней зарегистрировались уже 3400 человек, запущена 41 программа.
«Поиск и исправление уязвимостей является крайне важным для обеспечения безопасности и доверия граждан. Bug bounty позволяет на практике убедиться в реальной защищённости любой информационной системы благодаря участию большого количества этичных хакеров с разным опытом и навыками. Мы убеждены, что наше сотрудничество с Минцифры докажет эффективность bug bounty и для других государственных организаций и сервисов для обеспечения безопасности всех национальных онлайн-систем», — Ярослав Бабин, директор продукта Standoff 365.
Новости без цензуры и эксклюзив — в нашем телеграм-канале. Если вы стали свидетелем чрезвычайного происшествия и у вас есть фото или видео — сообщайте нам в группу «ВКонтакте» «Магсити74 — новости. Магнитогорск (18+)» или по электронной почте 313304@bk.ru.