Минцифры обнародовало промежуточные итоги второго этапа российской багбаунти. В программе, по которой можно получить вознаграждение до миллиона рублей за обнаружение ошибок, связанных с эксплойтами и уязвимостями, уже участвует 16 тысяч «белых хакеров».
Они уже несколько месяцев ищут уязвимости на «Госуслугах», СМЭВ, платформе обратной связи и в других государственных системах. При этом проверяется только внешний периметр систем: багхантеры не имеют доступа к внутренним данным, и уже найденные уязвимости нельзя будет повторно использовать для взлома.
Обнаружено около 100 уязвимостей в 10 системах. Большинство из них — с низкой степенью критичности. Максимальная выплата за найденную уязвимость составила 500 тыс рублей.
В перспективе в России работа белых хакеров может стать не проектной, а постоянной. В Госдуме обсуждаются два проекта законов, касающихся работы «белых хакеров». Первый должен легализовать привлечение к тестированию IT-инфраструктуры таких специалистов без разрешения правообладателей, второй — регламентировать порядок организации тестов.
Сейчас «белых хакеров» через специализированные сервисы в проектном порядке привлекают многие крупные компании. Так, например, ГК «Астра», ведущий российский разработчик операционных систем, в прошлом году объявляла о запуске программы Bug Bounty для ОС Astra Linux SE. Из госструктур багхантеров привлекают на поиск уязвимостей не только в Минцифры для тестирования уязвимостей электронного правительства, но и в «Почте России».
Читать материалы по теме:
Госсектор и промышленность оказались под ударом: хакеры стали быстрее взламывать IT-инфраструктуру
Появился новый вид кибершпионажа против российских компаний
Росгвардия разработала собственный киберполигон: что это и для чего он нужен