В России от хакеров белым-бело
Регионы запускают тестирование госсистем на уязвимости
Тестирование государственных IT-систем на наличие уязвимостей доверенными хакерами становится популярным в регионах РФ. По данным “Ъ”, до конца года свою инфраструктуру намерено протестировать правительство Московской области в партнерстве с Positive Technologies. В начале декабря тестирование запустила Ленобласть. Сейчас в проверке госсистем участвуют только российские специалисты, но одна из площадок уже наладила выплаты зарубежным тестировщикам.
Фото: Александр Миридонов, Коммерсантъ
К проведению программы Bug Bounty (проверка IT-систем «белыми хакерами» на наличие уязвимостей) до конца года присоединится Московская область, рассказали источники “Ъ” на IT-рынке. Специалист по кибербезопасности уточнил, что власти Подмосковья намерены разместить свою инфраструктуру госуслуг (доступно более 300 электронных услуг, число их пользователей превышает 6,7 млн человек) на площадке Positive Technologies (Standoff 365 Bug Bounty). Сумма вознаграждения, по их словам, в зависимости от уровня опасности уязвимости может достигать 150 тыс. руб. В компании подтвердили, что переговоры идут, не раскрыв деталей. В правительстве Подмосковья не ответили на запрос “Ъ”.
1,95 миллиона рублей
составила общая сумма вознаграждений на первом этапе программы Bug Bounty Минцифры.
В августе Минцифры ввело параметр информбезопасности (ИБ) в рейтинг цифровой трансформации госорганов. Теперь федеральные и региональные ведомства должны ежемесячно предоставлять информацию о мерах защиты IT-систем, включая тестирование «белыми хакерами» Bug Bounty (см. “Ъ” от 23 августа).
Первую программу Bug Bounty в госсекторе официально запустило само Минцифры на «Госуслугах» в феврале в партнерстве с той же Positive Technologies и BI.Zone (BI.Zone Bug Bounty). Проект продолжался три месяца, а в ноябре министерство решило перезапустить программу на год, расширив на Единую биометрическую систему, Единую систему идентификации и аутентификации и другие (см. “Ъ” от 9 ноября).
Ленобласть вместе с BI.Zone запустила местную программу Bug Bounty 1 декабря на системе управления бюджетным процессом, системе «Современное образование» региона и других, сообщили “Ъ” в комитете цифрового развития региона. В зависимости от уровня уязвимости вознаграждение специалистов достигает 150 тыс. руб., тестирование проводится до 15 декабря, уточняли в BI.Zone.
В «Информзащите» считают, что в ближайшее время программы Bug Bounty появятся и в других регионах: «В случае с сервисами, которые связаны с госуслугами, проблем быть не должно, так как они хорошо развиты технологически».
Но в собственных системах региона успешность Bug Bounty будет зависеть от того, кто разрабатывал сервисы, в каком состоянии инфраструктура и т.д., уточняет эксперт департамента противодействия киберугрозам «Информзащиты» Анатолий Песковский. В «Лаборатории Касперского» отмечают, что Bug Bounty несет ценную информацию о брешах в инфраструктуре «для зрелых компаний». Но если компания «не до конца уверена в своей киберзащите», то выходить на Bug Bounty не слишком эффективно, говорит эксперт Kaspersky ICS CERT Владимир Дащенко: «Будет найдено много простых уязвимостей, на которые потратится много средств».
Сейчас в программах Bug Bounty на госсистемах участвуют только российские специалисты. Однако в Positive Technologies говорят, что уже наладили механизм выплат зарубежным «белым хакерам». «У партнеров открыт расчетный счет в рублях в российском банке, мы осуществляем платеж на этот счет,— поясняют в компании.— Далее партнер проводит выплату в соответствии с законодательством страны, в которой исследователь получает выплату». Там рассчитывают на зарубежных тестировщиков из Азии, с Ближнего и Среднего Востока.
Директор департамента анализа защищенности и противодействия мошенничеству BI.Zone Евгений Волошин отметил, что сотрудничество с большим сообществом «багхантеров» «позволяет изучить цифровые ресурсы с разных ракурсов, провести глубокий анализ, а значит, получить наиболее полное представление об уровне защищенности систем».