Министерство цифровой экономики объявило о программе по поиску уязвимостей в своих сервисах. Если они будут найдены, эксперты получат вознаграждение. Международные компании уже давно используют такую форму сотрудничества – рынок, который растет и в России.
Коммерческое предложение, о котором недавно объявил министр цифрового развития Максут Шадаев, в профессиональном мире известно под названием “Bug Bounty”. Программа предусматривает участие “белых” или этичных хакеров, как их еще называют, для выявления уязвимостей в безопасности ИТ-систем. Почему же Минцифры предлагает проверить на прочность именно «Госуслуги»?
Очевидно, что в силу популярности программы – на ней зарегистрировано около 100 миллионов россиян – частые сбои в работе могут быть вызваны как кибератаками, так и пиками спроса, например, в условиях объявленной частичной мобилизации. Безопасность данных – еще одно слабое место портала.
Слушатель “Ъ FM” Иннокентий потерял свой аккаунт после подачи заявления на получение загранпаспорта.
Отечественный рынок Bug Bounty процветает. Компания Positive Technologies запустила собственную хакерскую платформу. Среди клиентов – онлайн-медиа, ритейлеры и образовательные сервисы, говорит Ярослав Бабин, директор по продуктам компании The Standoff: “По сути, мы являемся агрегатором между исследователями – хакерами – и предприятиями. Мы помогаем им составить некую политику – указать, как эксперты могут взаимодействовать с ними и какие сервисы они могут ломать – и затем публично размещаем ее на сайте. Например, “ВКонтакте” предлагает заплатить 1,8 миллиона рублей за самые серьезные уязвимости, а “Азбука вкуса” и “Рамблер” – до 100 000 рублей”.
“Хакеры по-разному относятся к Bug Bounty. Как ни странно, это во многом зависит от возраста и мотивации хакера. Хакеры любят всякого рода соревнования между собой, чтобы доказать свою уникальность, гениальность и т.д., потому что хакеры существуют для того, чтобы решать проблемы”, – говорит хакер Александр Варской, – “Естественно, такие массовые объявления особенно интересны молодежи”.
Что касается поиска уязвимостей на “Госуслугах”, то, по оценкам Министерства информации, программа будет завершена к концу этого года. В планах ведомства распространить эту практику и на другие государственные сервисы.