Минцифры объявило о старте второго этапа проекта по поиску уязвимостей в инфраструктуре электронного правительства. Программа расширена на все ресурсы и системы электронного правительства — протестировать их безопасность можно на платформе Standoff 365 Bug Bounty компании Positive Technologies. За успешную работу исследователи получат до 1 млн рублей — сумма вознаграждения зависит от уровня опасности выявленных ошибок.
Количество новых уязвимостей в мире растет каждый год. За 2020 год их было опубликовано более 18 тысяч, в 2021-м — более 20 тысяч, а в 2022-м — свыше 25 тысяч. В III квартале 2023 года злоумышленники продолжили использовать в преступных целях недостатки популярных IT-решений: эксплуатация уязвимостей была одним из лидирующих методов успешных атак на организации и сравнялась по эффективности с социальной инженерией.
«По данным, полученным в ходе проектов по аудиту защищенности в 2021 и 2022 годах, 96% протестированных Positive Technologies организаций не были защищены от проникновения внешнего злоумышленника, а 100% — от установления внутренним злоумышленником полного контроля над IT-инфраструктурой. Запуск багбаунти позволяет организациям сократить число открытых ошибок безопасности и повысить защищенность, так как в подобных проектах исследователи не ограничены рамками скоротечного проекта и получают вознаграждение за результат, а не за потраченное время. Важно отметить и количество исследователей, одновременно участвующих в поиске эффективных атакующих сценариев. Для результативного багхантинга наша компания создала самое большое комьюнити этичных хакеров в России и планомерно его расширяет», — отмечает Анатолий Иванов, руководитель направления багбаунти Standoff 365.
Второй этап багбаунти от Минцифры продлится 12 месяцев. В рамках программы будет тестироваться защищенность сразу десяти систем электронного правительства, в том числе Госуслуги, единая система идентификации и аутентификации, единая биометрическая система, платформа обратной связи, система межведомственного электронного взаимодействия, национальная система управления данными, единая информационная система управления кадровым составом государственной гражданской службы, головной удостоверяющий центр, единая система нормативной справочной информации.
Сегодня на платформе Standoff 365 Bug Bounty компании Positive Technologies зарегистрировано 7 200 исследователей, сдано 3 300 отчетов и выплачено более 58 млн рублей. Выплаты возможны пользователям с 14 лет. Для исследователей доступны программы компаний «Тинькофф», Rambler & Co, VK, Wildberries. Кроме того, лучшие багхантеры платформы Standoff 365 могут принимать участие в закрытых мероприятиях Standoff Hacks, где ведущие компании предоставляют для проверки сервисы, недоступные другим исследователям безопасности. В 2023 году прошло уже два таких мероприятия, исследователям было выплачено более 15 млн рублей.