Positive Technologies
Новости

Минцифры проверит защищенность Госуслуг на платформе Standoff 365 Bug Bounty

Минцифры России впервые привлечет широкий круг независимых специалистов по безопасности для проведения масштабного тестирования защищенности ресурсов электронного правительства. Багхантеры протестируют Госуслуги и единую систему идентификации и аутентификации (ЕСИА). Максимальное вознаграждение за найденные уязвимости составит 1 000 000 рублей. 10 февраля 2023 года соответствующая программа запущена на платформе Standoff 365 Bug Bounty, разработанной компанией Positive Technologies.

В I квартале 2022 года количество атак, направленных на госучреждения, увеличилось практически в два раза по сравнению с последним кварталом 2021-го и продолжало расти в течение всего года. Государственные учреждения столкнулись с наибольшим количеством кибератак среди организаций: их доля от общего числа атак составила 17%, это на 2 п. п. больше, чем в 2021 году. Всего за 2022 год было зафиксировано 403 атаки, что на 25% больше, чем за 2021 год.

Действия злоумышленников в каждой третьей атаке приводили к утечке конфиденциальной информации, в том числе персональных данных. Тестирование госинформсистем с привлечением независимых экспертов позволит не только усилить безопасность этих систем, но и укрепить доверие граждан к цифровым сервисам.

На первом этапе в проекте примут учаcтие Госуслуги и единая система идентификации и аутентификации. Все действия исследователей будут регулироваться заранее установленными правилами. Цель проекта — отследить логику и пути взлома, применяемые этичными хакерами, и использовать полученную информацию для усиления защищенности госинформсистем.

За найденные уязвимости исследователи смогут получить до 1 000 000 рублей в зависимости от уровня их опасности. По итогам этого этапа программа может быть масштабирована и на другие ресурсы.

«Поиск и исправление уязвимостей являются крайне важными для обеспечения безопасности и доверия граждан. Багбаунти позволяет на практике убедиться в реальной защищенности любой информационной системы благодаря участию большого количества этичных хакеров с разным опытом и навыками. Мы убеждены, что наше сотрудничество с Минцифры докажет и другим государственным организациям эффективность багбаунти в обеспечении безопасности любых онлайн-систем», — сказал Ярослав Бабин, директор продукта Standoff 365.

Тренд на проведение багбаунти для государственных систем в целом актуален для многих стран. Организации в разных частях мира — от США и Британии до стран Евросоюза и Азии — в течение последних лет проводили собственные багбаунти, чтобы усилить защищенность своих информсистем. На данный момент более трех десятков программ по поиску уязвимостей за вознаграждение в системах госсектора размещены на различных платформах, и их количество увеличилось на 13% за последний год.

Standoff 365 Bug Bounty (bugbounty.standoff365.com) от Positive Technologies начала действовать в мае 2022 года. За первые полгода работы этой платформы от багхантеров было получено 1050 отчетов, найдено и исправлено 260 уязвимостей, а сумма вознаграждений исследователям превысила 14 млн рублей. По числу участников и программ Standoff 365 Bug Bounty стала лидером среди российских аналогов: на ней зарегистрировалось уже 3500 человек, запущено 44 программы.