Компании Positive Technologies и BI.ZONE действительно обсуждают с Минцифры программу bug bounty для сервиса «Госуслуги». Об участии Positive Technologies рассказали Хабру представители компании в кулуарах 10-й юбилейной кибербитвы Standoff. На текущий момент переговоры находятся на стадии обсуждения условий проведения программы. Как и сообщалось ранее в СМИ, оплата для багхантеров за найденные уязвимости не предусмотрена.
Саму новость в среде белых хакеров встретили неоднозначно. В основном специалистов беспокоит правовая сторона вопроса. В свою очередь Минцифры беспокоится о возможных проблемах на сервисе и взломах после публикации программы.
В ответ на запрос в BI.ZONE Евгений Волошин, директор по стратегии компании, рассказал, что «как один из игроков российского рынка bug bounty, компания коммуницирует с Минцифры по возможному взаимодействию». На вопрос, насколько для багхантеров это будет безопасно в контексте работы с государством, Евгений ответил, что «багхантеры могут рассчитывать на полную безопасность работы на платформе, если они будут использовать программу bug bounty по указанному скоупу и действовать в рамках прописанных условий тестирования». Если возникнут претензии к «добросовестным» багхантерам, компания поможет урегулировать спор.
В Positive Technologies также выражают готовность оказать помощь, если вдруг возникнет недопонимание между багхантерами и Минцифрой.
На текущий момент не существует законодательных актов, защищающих багхантеров при взломе госплатформ даже по bug bounty, но работа в этом направлении ведётся, заверили в Positive Technologies. Когда конкретно будут составлены и приняты эти акты — неясно, как и сроки выхода самой программы.
