Взлом на благо государства
Минцифры протестирует свои сервисы белыми хакерами
Как стало известно “Ъ”, Минцифры проведет еще одну программу Bug Bounty — теперь на нескольких собственных сервисах помимо «Госуслуг». Платформы для поиска уязвимостей за вознаграждение предоставят Positive Technologies и BI.Zone, а максимальная выплата может достичь 1 млн руб. Участники рынка считают, что программу было бы полезно расширить на другие госструктуры, но для этого пока недостаточно ресурсов, как финансовых, так и кадровых.
Фото: Дмитрий Лебедев, Коммерсантъ
Минцифры планирует до конца года снова запустить программу Bug Bounty (тестирование информационных систем «белыми хакерами» на наличие уязвимостей), на этот раз на девяти собственных сервисах помимо «Госуслуг», рассказали “Ъ” источники на IT-рынке.
В частности, уточняет один из них, поиск уязвимостей будет развернут в Единой биометрической системе, Единой системе идентификации и аутентификации, Единой системе нормативной справочной информации и других.
Первую программу Bug Bounty Минцифры запустило на «Госуслугах» в феврале в партнерстве с Positive Technologies (Standoff 365 Bug Bounty) и BI.Zone (BI.Zone Bug Bounty). Она шла три месяца. Сейчас, говорят собеседники “Ъ”, программа планируется на год с теми же партнерами. Выплата за каждую серьезную уязвимость, которую обнаружит «белый хакер», может достигать 1 млн руб. в зависимости от значимости, уточняет один из источников “Ъ”. В Positive Technologies и BI.Zone отказались от комментариев. В Минцифры не ответили “Ъ”.
По итогам первого тестирования «Госуслуг», как сообщало Минцифры, было обнаружено 34 значимых уязвимости, участие в программе приняли 8,4 тыс. специалистов. Максимальная выплата за найденную ошибку (со средним и низким уровнем опасности) составила 350 тыс. руб., минимальная — 10 тыс. руб.
Первый проект Bug Bounty был тестовым, с ограниченным сроком и числом систем для исследования, сейчас программа будет запущена на постоянной основе и охватит все комплексы электронного правительства, поясняет директор центра противодействия кибератакам Solar JSOC Владимир Дрюков (участвует в тестировании совместно с «Ростелеком Информационная безопасность»).
В «Информзащите» уточняют, что 12 месяцев — нормальный срок для зрелой инфраструктуры, компании часто закладывают на тестирование 8–9 месяцев.
Минцифры стало первым российским госорганом, который провел тестирование своих IT-систем на проникновение, хотя силовые структуры считали допуск «белых хакеров» к госсистемам легализацией компьютерной преступности (см. “Ъ” от 16 декабря 2022 года). Между тем за рубежом практика Bug Bounty получила распространение в том числе в госсекторе. Например, в июле 2022 года короткую программу (на восемь дней) в своих публичных IT-системах запустило Минобороны США. Министерство выделило на поиск уязвимостей $110 тыс. при стоимости уязвимости от $500. Первый раз Минобороны США провело Bug Bounty на собственных сайтах в 2016 году, по итогам было обнаружено 90 уязвимостей (см. “Ъ” от 19 мая 2016 года).
Для российского рынка предложение Минцифры — очень высокий уровень выплат, считает технический директор МТС RED Денис Макрушин. В программах, анонсированных в последнее время, уточняет он, максимальная сумма вознаграждения составляла 60–250 тыс. руб., миллионные выплаты за найденные критичные уязвимости обещают только крупнейшие цифровые платформы. Опыт Минцифры было бы полезно расширить на IT-системы других госструктур, полагает господин Макрушин, но «не все к этому готовы».
Опыт Минцифры имеет важное значение для развития Bug Bounty в РФ, но пока трудно говорить о широком распространении инициативы на другие госкомпании и ведомства, отмечает зампред совета по развитию цифровой экономики при Совете федерации Артем Шейкин. Одна из причин, по его словам, отсутствие технических и финансовых ресурсов для комплексного анализа уязвимостей, а также возможный дефицит кадров.