С 12 декабря на платформе Standoff 365 Bug Bounty появилась первая программа багбаунти от субъекта Российской Федерации. Правительство Московской области запустило краткосрочную программу для оценки защищенности одной из важнейших информационных систем региона — портала государственных и муниципальных услуг (uslugi.mosreg.ru). Чтобы сделать этот сервис надежнее, выявлением уязвимостей займутся 8 тысяч зарегистрированных на Standoff 365 исследователей безопасности. За обнаруженные баги участники смогут получить до 150 тысяч рублей.
По данным Positive Technologies, за последние два года число расследований инцидентов увеличилось более чем в два раза, а каждая четвертая атака приходилась именно на государственные учреждения. Госсектор — крупная и выгодная мишень для злоумышленников, поскольку учреждения этой сферы создают, контролируют и эксплуатируют критически важную инфраструктуру, а также аккумулируют, передают и хранят большие объемы конфиденциальных данных.
Запущенный в 2012 году портал госуслуг Московской области — одна из самых посещаемых онлайн-площадок в Подмосковье: свыше 77% всех жителей региона имеют на нем подтвержденные учетные записи. Ежемесячно портал, на котором сегодня доступно более 300 электронных услуг, посещают около 4 миллионов человек.
«У нас уже есть успешный опыт проведения программ поиска уязвимостей в системах электронного правительства на федеральном уровне, — рассказал Анатолий Иванов, руководитель направления багбаунти Standoff 365. — В начале года Минцифры России запустило багбаунти на короткий срок для тестирования Госуслуг и ЕСИА. В итоге было обнаружено 34 уязвимости в основном среднего и низкого уровня опасности. В августе наши исследователи проверяли систему дистанционного электронного голосования. А в ноябре Минцифры разместило вторую часть программы: на этот раз количество сервисов выросло до девяти, а срок увеличился до года. Теперь на платформе появилась и программа для портала госуслуг Подмосковья. Вообще во многих странах мира наблюдается тренд на проведение багбаунти для государственных систем, поскольку госсектор — самая атакуемая сфера. В России госсектор также может стать драйвером запуска публичных программ по поиску уязвимостей».
Багбаунти Московской области продлится до 29 декабря 2023 года. Принять участие в ней могут граждане России старше 18 лет. Подробные условия — на сайте Standoff 365.