«Белые хакеры» проверят письма
«Почта России» ищет уязвимости в своей инфраструктуре
Услуги «белых хакеров» начинают использовать крупные госкомпании. Как стало известно “Ъ”, «Почта России» в ближайшее время объявит тендер на тестирование своих IT-систем в рамках трехлетней программы Bug Bounty, чтобы избежать дальнейших утечек данных. Специалисты по кибербезопасности считают идею актуальной, но подчеркивают, что для ее реализации придется четко определить регламенты и правила во избежание «разногласий с "белыми хакерами"».
Фото: Дмитрий Лебедев, Коммерсантъ
В рамках усиления направления кибербезопасности «Почта России» планирует запустить трехлетнюю программу Bug Bounty и в ближайшее время объявит тендер на предоставление соответствующей платформы, рассказал “Ъ” заместитель гендиректора компании по IT и развитию цифровых сервисов Дмитрий Ильин. «Мы предполагаем, что будет один поставщик платформы, на которую мы сможем привлечь уже всех участников ИБ-рынка»,— уточнил он.
Тестировать планируется «основные системы, которые играют важную роль в работе почты».
Собеседник “Ъ” на рынке кибербезопасности считает, что речь в первую очередь идет о сайте компании и ее мобильном приложении. Результаты тестирования станут «критерием для уточнения защищенности и выработки дополнительных мер», объясняет Дмитрий Ильин. Объем финансирования, заложенный на вознаграждение «белым хакерам», он не уточнил. Господин Ильин добавил, что весной совет директоров «Почты России» утвердил план обеспечения кибербезопасности на ближайшие годы. «В рамках его реализации мы хотим совместно с основными участниками рынка провести трансформацию систем и процессов, отвечающих за ИБ в компании»,— отметил он. В Минцифры не ответили на запрос “Ъ”.
В конце 2022 года в профильных Telegram-каналах появилась информация об утечке данных в «Почте России»: в сеть попали ФИО и названия компаний-клиентов, телефоны, адреса и трек-номера посылок, вес, статус отправления и т. д. Почта подтверждала факт утечки, но отрицала, что хакерам удалось получить доступ ко всей базе (см. “Ъ” от 29 июля 2022 года).
Поиск уязвимостей в IT-системах компаний стал особенно актуальным на фоне роста кибератак на российские компании с февраля 2022 года. Среди первых госорганов, запустивших программы Bug Bounty, было Минцифры. В конце 2023 года министерство масштабировало тестирование не только на «Госуслуги», но и на Единую биометрическую систему и др. (см. “Ъ” от 12 декабря 2023 года). Сейчас в Госдуме обсуждаются два законопроекта, имеющих отношение к Bounty: легализующий право на привлечение «белых хакеров» к софту без разрешения его правообладателей и о порядке организации тестирований (см. “Ъ” от 2 апреля).
Александр Хинштейн, глава комитета Госдумы по информполитике о «белых хакерах», 10 февраля 2023 года, «Интерфакс»:
«Сегодня мы только защищаем свои ресурсы, но самое эффективное — это, выражаясь военным языком, уничтожение огневой точки противника».
Спрос со стороны «профильных специалистов» на участие в программе «Почты России» будет, считает директор по консалтингу Positive Technologies (платформа Standoff 365 Bug Bounty) Юлия Воронова. «Если компания предложит нормальные выплаты премии за найденные уязвимости и быстро их верифицирует — будет спрос со стороны исследователей»,— соглашается техдиректор «Гарда WAF» Лука Сафонов. Собеседник “Ъ” на рынке кибербезопасности отмечает, что в целом «такого рода исследования могут в среднем стоить 20–30 млн руб. за три месяца работы».
Однако чем больше компания, тем больше в ней систем и сложнее процессы, поэтому для крупных организаций запуск Bug Bounty представляет достаточно сложную задачу, предупреждает директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE (платформа BI.ZONE Bug Bounty) Евгений Волошин. Перед тестированием необходимо провести внутренний анализ критичности ресурсов и в первую очередь проверить «самую зрелую» часть инфраструктуры, считает он.
Также, уточняет Евгений Волошин, чтобы между «белыми хакерами» и компанией не возникало разногласий, тестируемая организация должна четко прописывать правила программы: на каких ресурсах какие уязвимости следует искать и какие учитываться не будут.