По данным источников СМИ, Минцифры будет проверять защищённость «Госуслуг» сразу на двух российских площадках для выплат вознаграждений этичным хакерам за поиски уязвимостей в ПО и IT-системах госплатформы. Это площадки багбаунти от Positive Technologies и «Киберполигона». Платить исследователям за обнаруженные баги и уязвимости Минцифры не будет.
Предполагается, что денежные вознаграждения белых хакерам все же будут предоставляться, но уже напрямую от самих площадок в рамках увеличения опыта экспертов и проверки уровня защищённости «Госуслуг».
Представитель Минцифры пояснил СМИ, что на данном этапе это инициатива самих ИБ-компаний, которая на текущем этапе не предусматривает денежного вознаграждения от госведомства, а доступ к этой программе будет открыт для всех участников на равных условиях.
Эксперты отрасли пояснили СМИ, что уровень защищённости портала «Госуслуг» достаточно высокий, но там всё равно есть незакрытые ошибки в реализации и проблемы со смежными сервисами, например, уязвимости в передаче данных между региональными порталами «Госуслуг».
Представители ИБ-рынка считают, что исследователи не станут работать бесплатно или в этом случае они все равно найдут способ монетизировать информацию за найденные проблемы, например, будут продавать отчёты по уязвимостям в даркнете. Для минимизации этих рисков руководители багбаунти площадок будут сами платить небольшие суммы и, а за обнаружение уязвимостей в данном случае белые хакеры будут получать опят и увеличивать свой личный рейтинг на платформе багбаунти.
Представители багхаунти площадок рассказали СМИ, что пока они прорабатывают детали с Минцифры, а ведомство ещё не согласовало разрешённую область действий на портале и правила участия для белых хакеров. По их словам, Минцифры ещё должно сформировать техническую комиссию для приёма и закрытия уязвимостей совместно с разработчиками платформы. В «Ростелекоме», который является оператором «Госуслуг», пояснили СМИ, что не обладают данной информацией и не причастны к инициативе вывести «Госуслуги» на платформы багбаунти.
«Киберполигон» и Positive Technologies запустили в РФ аналог платформы HackerOne в апреле и мае этого года. Эксперты рынка считают, что фактически это российские агрегаторы по поиску уязвимостей, которые с одной стороны помогут компаниям, у которых часто возникают бюрократические проблемы по финансированию подобного мероприятия. Также данные платформы помогут самим этичным хакерам избежать обмана и проблем с невыплатами за обнаруженные ими уязвимости, а также текущих ограничений по их работе на зарубежных площадках.
В марте 2022 года HackerOne прекратила сотрудничество с российскими специалистами и багхантерами, заморозив их счета, а также отказалась работать со всеми клиентами из РФ и партнерами, включая уборку из своего сервиса всех совместных проектов с «Лабораторией Касперского».
Источник новости: habr.com
