Минцифры объявило о запуске программы Bug Bounty для Госуслуг сразу на двух площадках

Минцифры запускает проект по поиску уязвимостей в инфраструктуре электронного правительства. За успешную работу багхантеры получат до 1 млн ₽. Программа пройдёт на двух платформах в несколько этапов. После каждого из них Минцифры подведёт итоги и анонсирует новые условия: сроки, бюджет, системы для проверки.

Багбаунти — это публичная программа поиска уязвимостей за вознаграждение. Она позволяет привлечь независимых исследователей и сделать систему ещё более безопасной.

В 2022 году количество попыток взлома государственных ресурсов выросло на 80% по сравнению с 2021 годом. Минцифры предлагает багхантерам присоединиться к программе, чтобы отработать новые сценарии взлома и найти максимум уязвимостей в защите.

Широкий круг независимых специалистов по безопасности для проведения масштабного тестирования защищенности ресурсов электронного правительства будет привлечен впервые. Первоначально багхантеры протестируют сами Госуслуги и единую систему идентификации и аутентификации (ЕСИА). На следующих этапах список ресурсов будет расширен, а условия — обновлены.

Сейчас программы опубликованы сразу на двух из трех возможных bug bounty платформах — BI.ZONE и Positive Technologies.

Для участия в программе необходимы:

  • Гражданство России;
  • Регистрация на платформах BI.ZONE Bug Bounty или Standoff 365 Bug Bounty;
  • Возраст: на BI.ZONE — от 18 лет, на Standoff 365 — от 14 лет с письменного согласия родителей;
  • Соблюдение правил багбаунти-платформ.

Вознаграждение зависит от степени уязвимости:

  • низкая — подарки с символикой проекта
  • средняя — до 50 тыс. ₽
  • высокая — от 50 до 200 тыс. ₽
  • критическая — до 1 млн ₽ и благодарность от команды Минцифры.

Общий фонд первого этапа программы составляет 10 млн рублей, длительность — 3 месяца. В качестве спонсора, выплачивающего вознаграждения, заявлена компания «Ростелеком».

Тренд на проведение багбаунти для государственных систем в целом актуален для многих стран. Организации в разных частях мира — от США и Британии до стран Евросоюза и Азии — в течение последних лет проводили собственные багбаунти, чтобы усилить защищенность своих информсистем. На данный момент более трех десятков программ по поиску уязвимостей за вознаграждение в системах госсектора размещены на различных платформах, и их количество увеличилось на 13% за последний год.

Отметим, что ранее представители минцифры неоднократно анонсировали участие портала электронного правительства в программе багбаунти, однако предполагалось, что министерство создаст для этих целей собственную платформу.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *