Министерство цифровой экономики объявило о программе по поиску уязвимостей в своих сервисах. Если они будут найдены, эксперты получат вознаграждение. Международные компании уже давно используют такую форму сотрудничества – рынок, который растет и в России.
Коммерческое предложение, о котором недавно объявил министр цифрового развития Максут Шадаев, в профессиональном мире известно под названием “Bug Bounty”. Программа предусматривает участие “белых” или этичных хакеров, как их еще называют, для выявления уязвимостей в безопасности ИТ-систем. Почему же Минцифры предлагает проверить на прочность именно «Госуслуги»?
Очевидно, что в силу популярности программы – на ней зарегистрировано около 100 миллионов россиян – частые сбои в работе могут быть вызваны как кибератаками, так и пиками спроса, например, в условиях объявленной частичной мобилизации. Безопасность данных – еще одно слабое место портала.
Слушатель “Ъ FM” Иннокентий потерял свой аккаунт после подачи заявления на получение загранпаспорта.
“Когда я попытался восстановить пароль, мне сказали, что номер и электронная почта для аккаунта не существуют. Я обратился в техподдержку, и мне пришлось ждать ответа специалиста 40-50 минут. После нескольких дней попыток мне сказали, что есть два варианта: либо я удалил свой аккаунт, либо злоумышленник украл его и удалил. Мне пришлось создать новый. Но, конечно, паспорта, за которым я обращался, в том аккаунте уже не было. Пришлось обращаться в МФЦ и МВД, чтобы решить этот вопрос”, – говорит Иннокентий.
Отечественный рынок Bug Bounty процветает. Компания Positive Technologies запустила собственную хакерскую платформу. Среди клиентов – онлайн-медиа, ритейлеры и образовательные сервисы, говорит Ярослав Бабин, директор по продуктам компании The Standoff: “По сути, мы являемся агрегатором между исследователями – хакерами – и предприятиями. Мы помогаем им составить некую политику – указать, как эксперты могут взаимодействовать с ними и какие сервисы они могут ломать – и затем публично размещаем ее на сайте. Например, “ВКонтакте” предлагает заплатить 1,8 миллиона рублей за самые серьезные уязвимости, а “Азбука вкуса” и “Рамблер” – до 100 000 рублей”.
Хакеры просто нажимают кнопку “Сообщить”, когда находят уязвимость, и отправляют ее напрямую нашему клиенту. А тот уже сам решит, платить за это или нет.
“Хакеры по-разному относятся к Bug Bounty. Как ни странно, это во многом зависит от возраста и мотивации хакера. Хакеры любят всякого рода соревнования между собой, чтобы доказать свою уникальность, гениальность и т.д., потому что хакеры существуют для того, чтобы решать проблемы”, – говорит хакер Александр Варской, – “Естественно, такие массовые объявления особенно интересны молодежи”.
Что касается поиска уязвимостей на “Госуслугах”, то, по оценкам Министерства информации, программа будет завершена к концу этого года. В планах ведомства распространить эту практику и на другие государственные сервисы.
