В новом нацпроекте «Экономика данных и цифровая государственная трансформация» значимая роль будет отведена обеспечению информационной безопасности государственного сектора, в частности за счет программы багбаунти и проведения пентестов, пишет «Российская газета».
«Целый блок мероприятий будет посвящён повышению защищенности как инфраструктуры, так и граждан. В рамках нацпроекта совместно с Центробанком и МВД будем создавать единую антифрод-платформу, которая позволит обеспечить онлайн-взаимодействие госорганов, банков, микрофинансовых организаций, операторов связи, цифровых платформ, для того чтобы не допускать совершения преступлений, предупреждать их оперативно», – сообщил глава Минцифры Максут Шадаев на международном форуме Kazan Digital Week 2024
Шадаев также подчеркнул, что работа по борьбе с фишингом, подменными номерами и серыми сим-картами будет продолжена. «Будем распространять хорошо зарекомендовавшую себя практику внешнего тестирования ключевых государственных информационных систем», – также заявил глава министерства.
В настоящий момент в России продолжается реализация второго этапа программы багбаунти, которую инициировало Минцифры России. Объектами тестирования на этот раз выбраны портал «Госуслуги», Платформа обратной связи (ПОС), Система межведомственного взаимодействия (СМЭВ), Единая система идентификации и аутентификации (ЕСИА) и другие.
Летом этого года в Минцифры России сообщили, что к участию в программе присоединились порядка 16 тыс. ИТ-специалистов, которые обнаружили более 100 уязвимостей в десяти госсистемах. Большая часть из них – низкой степени критичности. Максимальное вознаграждение, которое специалисты могут получить за нахождение уязвимости – 1 млн рублей.
В текущих реалиях программа багбаунти должна в обязательном порядке включаться в стратегию обеспечения информационной безопасности как бизнеса, так и государственных информсистем, считает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «С учетом роста информационного давления, каждой организации сегодня просто необходим независимый аудит и тест информсистем. Этим как раз и занимаются багхантеры или «белые» хакеры – независимые ИТ-специалисты, осуществляющие поиск уязвимостей в ИТ-инфраструктуре. Несмотря на то, что программа багбаунти – очень молодое направление для России, она уже зарекомендовала себя как эффективный инструмент поддержания информационной безопасности на стабильном уровне. Во многих компаниях критические для инфраструктуры инциденты были выявлены именно по результатам работы «белых» хакеров», – рассказал депутат.
На сегодняшний день активными участниками программы багбаунти являются крупные отечественные ИТ-компании. VK, например, за десять лет реализации проекта выплатила багхантерам более 230 млн рублей. «Яндекс» только в 2023 году выплатил специалистам около 70 млн рублей. Привлечение независимых специалистов – одно из следствий участившихся DDoS-атак и утечек данных.
В первом полугодии 2024 года эксперты компании InfoWatch обнаружили в открытом доступе 986 млн строк с персональной информацией. При этом, как сообщили представители компании, растет доля утечек сведений, содержащих государственную тайну: с 6,4% в 2023 году до 11,1% в 2024 году от общего объема утекших данных.
«Один из уже закрепившихся трендов еще и в том, что продолжается рост утечек у малого и среднего бизнеса (МСБ). Здесь также нужно вести планомерную работу по приобщению сектора к новым инструментам защиты. В том числе за счет создания более выгодных условий реализации программ багбаунти и пентестов, по сравнению с крупным бизнесом. Но пока это открытый вопрос», – отметил Немкин.
Депутат напомнил, что в России уже подготовлены законопроекты, призванные легализовать деятельность багхантеров. «Несмотря на то, что «белые» хакеры тестируют госсистемы и показывают эффективные результаты, нормативная рамка все еще работает против них. Наша задача – сформировать законодательство, направленное на устойчивое развитие направления. В Госдуму уже внесен законопроект, предлагающий соответствующие поправки в Гражданский кодекс. Поправки также будут предложены к Уголовному кодексу РФ и к закону «Об информации, информационных технологиях и о защите информации», – заключил депутат.