/ Автор: orsecadmin | Оставить комментарий
Минцифры запускает проект по поиску уязвимостей в инфраструктуре электронного правительства. За успешную работу багхантеры получат до 1 млн ₽. Программа пройдёт на двух платформах в несколько этапов. После каждого из них Минцифры подведёт итоги и анонсирует новые условия: сроки, бюджет, системы для проверки.
Багбаунти — это публичная программа поиска уязвимостей за вознаграждение. Она позволяет привлечь независимых исследователей и сделать систему ещё более безопасной.
В 2022 году количество попыток взлома государственных ресурсов выросло на 80% по сравнению с 2021 годом. Минцифры предлагает багхантерам присоединиться к программе, чтобы отработать новые сценарии взлома и найти максимум уязвимостей в защите.
Широкий круг независимых специалистов по безопасности для проведения масштабного тестирования защищенности ресурсов электронного правительства будет привлечен впервые. Первоначально багхантеры протестируют сами Госуслуги и единую систему идентификации и аутентификации (ЕСИА). На следующих этапах список ресурсов будет расширен, а условия — обновлены.
Сейчас программы опубликованы сразу на двух из трех возможных bug bounty платформах — BI.ZONE и Positive Technologies.
Для участия в программе необходимы:
- Гражданство России;
- Регистрация на платформах BI.ZONE Bug Bounty или Standoff 365 Bug Bounty;
- Возраст: на BI.ZONE — от 18 лет, на Standoff 365 — от 14 лет с письменного согласия родителей;
- Соблюдение правил багбаунти-платформ.
Вознаграждение зависит от степени уязвимости:
- низкая — подарки с символикой проекта
- средняя — до 50 тыс. ₽
- высокая — от 50 до 200 тыс. ₽
- критическая — до 1 млн ₽ и благодарность от команды Минцифры.
Общий фонд первого этапа программы составляет 10 млн рублей, длительность — 3 месяца. В качестве спонсора, выплачивающего вознаграждения, заявлена компания «Ростелеком».
Тренд на проведение багбаунти для государственных систем в целом актуален для многих стран. Организации в разных частях мира — от США и Британии до стран Евросоюза и Азии — в течение последних лет проводили собственные багбаунти, чтобы усилить защищенность своих информсистем. На данный момент более трех десятков программ по поиску уязвимостей за вознаграждение в системах госсектора размещены на различных платформах, и их количество увеличилось на 13% за последний год.
Отметим, что ранее представители минцифры неоднократно анонсировали участие портала электронного правительства в программе багбаунти, однако предполагалось, что министерство создаст для этих целей собственную платформу.
С заботой о вашей безопасности, команда Origin Security