На стороне закона: в Минцифры обратились к услугам «белых» хакеров

В Минцифры запустили второй этап Bug Bounty — программы по поиску «белыми» хакерами уязвимостей на «Госуслугах» и других государственных порталах. За обнаружение «дыр» в защите хакерам заплатят от 30 тыс. до 1 млн рублей. Как «белые» хакеры помогают усиливать защиту государственных сайтов и какие перспективы есть у их работы, выясняли «Известия».

Награждение хакеров

О запуске второго этапа программы Bug Bounty официально объявили на сайте Минцифры. Как следует из сообщения, новый этап программы продлится год, а не три месяца, как предыдущий. Кроме того, Bug Bounty расширили на все системы электронного правительства.

Уязвимости можно искать не только на портале «Госуслуги» и в единой системе идентификации и аутентификации (ЕСИА), но также в единой биометрической системе, платформе обратной связи и системе межведомственного электронного взаимодействия. Кроме того, поиск уязвимостей доступен в национальной системе управления данными, единой информационной системе управления кадровым составом государственной гражданской службы, головном удостоверяющем центре и в единой системе нормативной справочной информации.


Сумма вознаграждения будет зависеть от степени опасности обнаруженной «дыры»: низкая оценивается до 30 тыс. рублей, средняя — до 100 тыс. рублей, высокая — до 300 тыс., а критическая — до 1 млн рублей. Во время первого этапа Bug Bounty, проходившего с февраля по май 2023 года, «белые» хакеры выявили 37 уязвимостей, которые уже устранили. Общая сумма вознаграждений составила 1,95 млн рублей, отметили в Минцифры.

Кто такие «белые» хакеры

Как объясняет «Известиям» коммерческий директор компании «Код безопасности» Федор Дбар, всё хакерское сообщество можно условно разделить на «черных» и «белых». К первым относятся те, кто использует свои навыки для заработка либо хулиганства. Ко вторым — специалисты, которые применяют искусство взлома различных сетей и IT-инфраструктуры, чтобы объекты могли увидеть собственные уязвимости и исправить их.

— То есть «белые», найдя уязвимость, не воспользуются ею, а составят подробный отчет и передадут соответствующей организации. А вот «черные» не только украдут информацию, но и постараются получить за нее что-то материальное, — рассказывает Дбар.

По его словам, «белые», они же этичные хакеры или пентестеры, появились, как только в мире начали создаваться компьютеры, ведь проверка на сопротивляемость взлому — один из главных методов оценки уровня безопасности. Впервые о честных взломщиках стало широко известно еще в 1980-е годы, когда минобороны США начало привлекать хакеров к работе для тестирования IT-инфраструктур своих объектов.

Со временем пентест стал неотъемлемой частью «безопасников», а частные компании и государственные организации принялись организовывать собственные программы Bug Bounty, в рамках которых либо нанимали этичных хакеров и позволяли им взламывать IT-инфраструктуры, либо в целом кидали клич в интернете и предлагали денежное вознаграждение любому, кто найдет критические уязвимости.


— Для России это относительно молодое направление, но в последнее время крупные компании, например «Яндекс» или «Ростелеком», регулярно организуют программы Bug Bounty и чемпионаты по пентесту, — отмечает Федор Дбар.


Читать статью полностью

18..11.2023
https://iz.ru/1605783/mariia-frolov...mintcifry-obratilis-k-uslugam-belykh-khakerov​