Поделиться
«Госуслуги» прошли проверку «белыми хакерами»
В начале февраля Минцифры запустило проект по поиску уязвимостей на «Госуслугах». В течение трёх месяцев более 8,4 тыс. участников багбаунти проверяли защищённость портала и боролись за вознаграждение: подарки с символикой проекта — если найдены небольшие баги, и денежные призы до 1 млн руб. — за критические уязвимости.
В итоге максимальная выплата за найденный баг составила 350 тыс. руб., минимальная — 10 тыс. руб. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.
Проект привлёк более 8,4 тыс. белых хакеров со всей страны. Средний возраст багхантеров составил 28 лет, минимальный — 17, а максимальный — 55 лет.
Работа исследователей помогла улучшить систему безопасности «Госуслуг», но при этом доступа к внутренним данным у багхантеров не было. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах Bi.Zone Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, «РТК-Солар» является оператором информационной защиты портала «Госуслуг». В будущем планируется и дальше проводить багбаунти «Госуслуг», а также расширить действие программы на другие ведомства.
«Платформа "Госуслуг", объединившая более 100 млн пользователей, — уникальный ресурс, которому трудно подобрать аналоги в мире. Это настоящий магнит для хакеров. В течение всего прошлого года и до сегодняшнего времени его надёжность проверяется в боевых условиях глобального киберпротивостояния. Мы понимаем, что в эпоху тотальной цифровизации невозможно гарантировать безупречную цифровую безопасность, а значит, особенно важно быть на шаг впереди киберпреступников. «РТК-Солар» как оператор безопасности для «Госуслуг» выстоял под натиском исследователей. Мы благодарны всем, кто принял участие в багбаунти и помог сделать систему федерального значения ещё устойчивее. Программа ещё раз доказала высокий уровень защиты платформы — ни один участник не смог найти действительно серьёзной уязвимости. Мы уже реализуем изменения по итогам прошедших испытаний и надеемся, что подобные проекты станут отличной практикой в будущем», — сказал Игорь Ляпунов, старший вице-президент по информационной безопасности «Ростелекома», генеральный директор «РТК-Солар».
«Готовность госучреждений публично проверять безопасность своих сервисов — важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности. Надеемся, что Минцифры станет примером для других организаций и вскоре ещё больше компаний станут приходить на багбаунти в публичном или закрытом формате и проверять безопасность усилиями нескольких тысяч наших ИБ-исследователей», — сказал Анатолий Иванов, руководитель направления багбаунти Standoff 365.
«Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти. За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость. Что касается независимых исследователей, они были рады и очень заинтересованы в возможности проверить на прочность сервисы государственного масштаба, при этом получив за это внушительное вознаграждение», — сказал Евгений Волошин, директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии Bi.Zone.
Поделиться
Короткая ссылка
