Российским хакерам предложили проверить «Госуслуги» на прочность. За это хорошо заплатят
Минцифры впервые привлечет независимых специалистов по безопасности к тестированию защищенности ресурсов электронного правительства, в частности, «Госуслуг» и ЕСИА. Багхантеры смогут заработать на каждой выявленной уязвимости до 1 млн руб. Программа запущена на площадках Bi.Zone и Positive Technologies, а проспонсирует ее «Ростелеком».Bug bounty для электронного правительства
Минцифры России объявило о запуске собственного проекта по поиску уязвимостей (bug bounty). Этичные («белые») хакеры смогут за вознаграждение оказать ведомству содействие в выявлении технических изъянов ресурсов электронного правительства.
Как сообщили CNews в министерстве, программа пройдет в несколько этапов. Сперва ее участники изучат на предмет наличия уязвимостей портал «Госуслуг» и Единую систему идентификации и аутентификации (ЕСИА). Впоследствии перечень ресурсов будет расширен, условия участия претерпят некоторые изменения, отмечают в Минцифры.
О наличии у Минцифры планов относительно запуска программы по поиску уязвимостей за вознаграждение CNews писал еще в начале января 2023 г. Министр цифрового развития Максут Шадаев рассказывал о намерении ведомства запустить bug bounty для «Госуслуг» в октябре 2022 г.
В июле 2022 г. CNews сообщил о том, Минцифры прорабатывает возможности введения понятия bug bounty в правовое поле, что позволило бы легализовать деятельность «белых» хакеров.
Размер вознаграждения
Максимальная выплата в рамках программы составляет 1 млн руб. Спонсором проекта выступает «Ростелеком».
При принятии решения о назначении вознаграждения эксперты будут руководствоваться в первую очередь степенью опасности найденной бреши. Так, «белые» хакеры, сообщившие о критической уязвимости в сервисах электронного правительства, могут рассчитывать на сумму до 1 млн руб. и благодарность от команды Минцифры.
Уязвимости, опасность которых будет признана высокой, принесут обнаружившим их от 50 тыс. руб. до 200 тыс. руб. Самая низкая планка размера денежного вознаграждения установлена для брешей среднего уровня опасности – до 50 тыс. руб. Нашедшие уязвимости, которые представляют малую опасность, могут претендовать на памятные подарки с символикой проекта.
Правила участия в первом этапе программы
Участие в программе доступно гражданам России. Минимальный возраст участника варьируется в зависимости от выбранной им платформы – это могут быть Bi.Zone Bug Bounty или Standoff 365 Bug Bounty компании Positive Technologies. Площадка Bi.Zone допускает к участию только совершеннолетних. Standoff 365 готова принять даже подростков в возрасте от 14 лет при наличии письменного согласия со стороны родителей.
Исследователи будут действовать по установленным правилам. Работа на платформе позволит определить логику потенциальных хакеров, эта информация будет использована для дополнительной защиты электронного правительства.
Желающим помочь обезопасить сервисы электронного правительства в Минцифры предлагают следующий алгоритм действий: для начала зарегистрироваться на выбранной платформе, ознакомиться и согласиться с условиями программы; найти уязвимость, не нарушая правил; отправить информацию об уязвимости через платформу и, наконец, дождаться подтверждения уязвимости от ведомства.
Компания Bi.Zone запустила свою платформу по поиску уязвимостей в конце августа 2022 г. Сервис Positive Technologies заработал в мае 2022 г.
Сколько платят коммерческие компании в рамках bug bounty
Собственные программы bug bounty имеют многие крупные технологические организации частного сектора.
К примеру, вознаграждение в рамках одной из действующих программ корпорации Microsoft может достигать $250 тыс. (около 18 млн руб. по курсу ЦБ на 10 февраля 2023 г.). Для того, чтобы на него претендовать, необходимо сообщить компании об уязвимости критического уровня опасности в гипервизоре Hyper-V, эксплуатация которой позволяет злоумышленнику удаленно выполнить произвольный код, привести к раскрытию информации или отказу в обслуживании.
Несколько менее щедрые выплаты предлагает Google. Выявление уязвимостей безопасности в продуктах интернет-гиганта может принести легальным взломщикам до $31,3 тыс. В частности, максимально выгодны для легальных взломщиков бреши, позволяющие удаленно выполнить произвольный код на серверах компании (баги десериализации, побег из песочницы).
В октябре 2022 г. Positive Technologies рассказала, что российский бизнес готов платить багхантерам (специалистам по поиску уязвимостей; – прим. CNews) от нескольких десятков до сотен тысяч рублей, а в отдельных случаях выплаты достигают 1 млн руб. и более. Cредний размер выплаты на платформе Standoff 365 Bug Bounty на тот момент составлял 420 тыс. руб., что, по оценке Positive Technologies, сопоставимо с размерами вознаграждения по миру.
Госсектор под угрозой
По данным Positive Technologies, в I квартале 2022 г. количество атак, направленных на государственные структуры, увеличилось почти вдвое в сравнении с заключительным кварталом 2021 г. В дальнейшем этот показатель только продолжал расти.
Госучреждения столкнулись с наибольшим количеством кибератак среди организаций: их доля в совокупном количестве атак достигла 17%, что на 2 п. п. больше, чем в 2021 г. Всего за 2022 г. было зафиксировано 403 атаки, что на 25% больше, чем за 2021 г., отмечают в Positive Technologies.