Минцифры привлекло Positive Technologies и «Киберполигон» для поиска уязвимостей на госуслугах
В министерстве пояснили, что предоставление Bug Bounty платформ – это инициатива самих компаний, которая на текущем этапе не предусматривает денежного вознаграждения. Доступ к программе открыт для всех участников на равных условиях.
Чтобы присоединиться к проекту, компания «должна обладать релевантным опытом и надежной репутацией экспертов ИБ в отрасли, пояснил «Ведомостям» представитель Минцифры.
Сейчас уровень защищенности «Госуслуг» достаточно высок, отмечает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Однако после того, как хакеры в конце 2021 года взломали исходный код и закрытые ключи от регионального портала «Госуслуг» Пензенской области, ситуация могла ухудшиться, считает он.
По словам Оганесяна, крупных утечек данных из сервиса в этом году не было, но небольшие базы присутствуют на черном рынке постоянно. Чаще всего их получают после взломов пользователей, например, при помощи программы-стиллера.
Руководитель продукта Standoff 365 Bug Bounty Positive Technologies Ярослав Бабин рассказал, что компания уже отладила механизмы публикации программ. Он считает, что белые хакеры будут готовы искать уязвимости и без оплаты, потому что их «привлекают интересные задачи и для них важен опыт и рейтинг на платформе».
При этом Оганесян считает, что багхантеры не станут работать бесплатно. «Такая программа либо не привлечет внимания вовсе, либо ее участники будут пользоваться предоставленными им возможностями в своих интересах, например, продавать найденные уязвимости в даркнете», – сказал он.