Минцифры РФ обратится за помощью к «белым» хакерам

Минцифры России планирует снова обратиться за помощью к «белым» хакерам. Так, до конца этого года ведомство запустит проект Bug Bounty для 20 информационных систем. 

Эксперты уверены, что данная практика крайне эффективна. Это подтверждают существующие результаты. Например, зимой 2023 года министерство провело программу Bug Bounty на портале «Госуслуг», в результате которого «белым» хакерам удалось выявить уязвимости и ошибки в системе. Участники программы в итоге заработали 2 млн рублей. 

Максимальная выплата за обнаружение весомой уязвимости составила 350 000 рублей, а минимальная — 10 000 рублей. Уточняется, что в проекте Bug Bounty на портале «Госуслуги» участвовали около 8 500 человек. Возраст участников варьировался от 17 до 55 лет, при этом средний возраст составил примерно 28 лет. Всего в ходе действия проекта было обнаружено 34 уязвимости, многие из которых имели средний или низкий уровень критичности. При этом «белые» хакеры работали исключительно с внешнего периметра и не имели доступа к внутренней информации портала. 

Обнаруженные уязвимости были полностью контролируемы системами мониторинга, и хакерам было невозможно их эксплуатировать или использовать для компрометации данных. Точные детали о размере вознаграждений в рамках нового проекта Bug Bounty не раскрываются. 

Важно, что после шквала кибератак на объекты ИТ-инфраструктуры в России, выросла потребность в регулярном тестировании на проникновение (пентесте) и программах выявления уязвимостей (bug bounty). Однако вопрос юридической незащищенности багхантеров все еще остается нерешенным: по данным Ведомостей, чиновники отложили запущенный летом 2022 года процесс легализации «белых хакеров» из-за разногласий с силовыми структурами. Редакция IT Speaker узнала у экспертов, как работают «этичные хакеры» вне правового поля.