/ Автор: orsecadmin | Оставить комментарий
Минцифры сообщило, что за три первых месяца работы программы Bug Bounty более 8,4 тыс. белых хакеров пытались найти уязвимости на портале «Госуслуг». Они обнаружили 34 бага средней и низкой критичности. Исследователи получили за свои отчёты на платформах BI. ZОNE Bug Bounty и Standoff 365 денежные вознаграждения и сувениры с символикой проекта от Минцифры.
В Минцифры пояснили, что максимальная выплата за найденные уязвимости составила 350 тыс. рублей на одной из платформ, а минимальная одному хакеру — 10 тыс. рублей. Средний возраст багхантеров составил 28 лет, минимальный — 17 лет, а максимальный — 55 лет.
«Работа исследователей помогла улучшить систему безопасности «Госуслуг», но при этом доступа к внутренним данным у багхантеров не было. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Спонсором проекта выступил «Ростелеком» (РТК-«Солар» — оператор информационной защиты портала «Госуслуг»). Планируется и дальше проводить багбаунти «Госуслуг», а также расширить действие программы на другие ведомства», — пояснили в Минцифры.
Представители платформ-организаторов положительно оценили инициативу ведомства и выразили надежду, что МинЦифры может стать примером и для других государственных органов.
«Готовность госучреждений публично проверять безопасность своих сервисов — важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности. Надеемся, что Минцифры станет примером для других организаций и вскоре ещё больше компаний станут приходить на багбаунти в публичном или закрытом формате и проверять безопасность усилиями нескольких тысяч наших ИБ-исследователей», — говорит Анатолий Иванов, руководитель направления багбаунти Standoff 365.
«Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти. За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость. Что касается независимых исследователей, они были рады и очень заинтересованы в возможности проверить на прочность сервисы государственного масштаба, при этом получив за это внушительное вознаграждение», — рассказывает Евгений Волошин, директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE.
Отметим, что глава ведомства Максут Шадаев на форуме Positive Hack Days заявил, что Минцифры снизило скорости развития портала госуслуг, чтобы обеспечить более надёжную безопасность данных. Министр подчеркнул, что «за этот год» ради улучшения безопасности были вынужденно пересмотрены многие подходы. В частности, раньше концепция портала «шла от клиента», заключалась в удобстве, доступности и скорости. Однако сейчас приоритеты сместились в сторону обеспечения большей защищенности и системности данных.
С заботой о вашей безопасности, команда Origin Security