← На главную

Опубликовано 22.05.2023 07:55
Рубрика IT-сфера: технологии, проблемы и развитие.
Автор Российское информационное агентство «Национальный альянс» Все материалы

«Белые» хакеры ищут уъязвимости

Минцифры запустило проект по поиску уязвимостей на Госуслугах. 

В течение трёх месяцев более 8,4 тыс. участников багбаунти проверяли защищённость портала и боролись за вознаграждение: подарки с символикой проекта при условии обнаружения небольших багов и за критические ошибки – денежные призы до 1 млн. рублей.

В итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей. Всего обнаружено 34 уязвимости, большинство из которых со средним и низким уровнем критичности.

Проект привлёк более 8,4 тыс. белых хакеров со всей страны. Средний возраст багхантеров составил 28 лет, минимальный — 17, а максимальный — 55 лет.

Работа исследователей помогла улучшить систему безопасности Госуслуг, но при этом доступа к внутренним данным у багхантеров не было. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, РТК-Солар является оператором информационной защиты портала Госуслуг. В будущем планируется и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства.

«Платформа "Госуслуг", объединившая более 100 млн пользователей, — уникальный ресурс, которому трудно подобрать аналоги в мире. Это настоящий магнит для хакеров. В течение всего прошлого года и до сегодняшнего времени его надёжность проверяется в боевых условиях глобального киберпротивостояния. Мы понимаем, что в эпоху тотальной цифровизации невозможно гарантировать безупречную цифровую безопасность, а значит, особенно важно быть на шаг впереди киберпреступников. РТК-Солар, как оператор безопасности для Госуслуг, выстоял под натиском исследователей. Мы благодарны всем, кто принял участие в багбаунти и помог сделать систему федерального значения ещё устойчивее. Программа ещё раз доказала высокий уровень защиты платформы — ни один участник не смог найти действительно серьёзной уязвимости. Мы уже реализуем изменения по итогам прошедших испытаний и надеемся, что подобные проекты станут отличной практикой в будущем», — рассказывает Игорь Ляпунов, старший вице-президент по информационной безопасности ПАО «Ростелеком», генеральный директор «РТК-Солар».

«Готовность госучреждений публично проверять безопасность своих сервисов — важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности. Надеемся, что Минцифры станет примером для других организаций и вскоре ещё больше компаний станут приходить на багбаунти в публичном или закрытом формате и проверять безопасность усилиями нескольких тысяч наших ИБ-исследователей», — говорит Анатолий Иванов, руководитель направления багбаунти Standoff 365.

«Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти. За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость. Что касается независимых исследователей, они были рады и очень заинтересованы в возможности проверить на прочность сервисы государственного масштаба, при этом получив за это внушительное вознаграждение», — рассказывает Евгений Волошин, директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE.

Информация пресс-службы Минцифры России

Российское информационное агентство «Национальный альянс»

Подписывайтесь на официальный канал  РСИ «Первый национальный» в Telegram 

Партнер Интернет-бюро юриста Руслана Чалова Чалов.рф