По данным источников СМИ, Минцифры будет проверять защищённость «Госуслуг» сразу на двух российских площадках для выплат вознаграждений этичным хакерам за поиски уязвимостей в ПО и IT-системах госплатформы. Это площадки багбаунти от Positive Technologies и «Киберполигона». Платить исследователям за обнаруженные баги и уязвимости Минцифры не будет.
Предполагается, что денежные вознаграждения белых хакерам всё же будут предоставляться, но уже напрямую от самих площадок в рамках увеличения опыта экспертов и проверки уровня защищённости «Госуслуг».
Представитель Минцифры пояснил СМИ, что на данном этапе это инициатива самих ИБ-компаний, которая на текущем этапе не предусматривает денежного вознаграждения от госведомства, а доступ к этой программе будет открыт для всех участников на равных условиях.
Эксперты отрасли пояснили СМИ, что уровень защищённости портала «Госуслуг» достаточно высокий, но там всё равно есть незакрытые ошибки в реализации и проблемы со смежными сервисами, например, уязвимости в передаче данных между региональными порталами «Госуслуг».
Представители ИБ-рынка считают, что исследователи не станут работать бесплатно или в этом случае они всё равно найдут способ монетизировать информацию о найденных проблемах, например, будут продавать отчёты по уязвимостям в даркнете. Для минимизации этих рисков руководители багбаунти-площадок будут сами платить небольшие суммы, а за обнаружение уязвимостей в данном случае белые хакеры будут получать опыт и увеличивать свой личный рейтинг на платформе.
Представители багхаунти-площадок рассказали СМИ, что пока они прорабатывают детали с Минцифры, а ведомство ещё не согласовало разрешённую область действий на портале и правила участия для белых хакеров. По их словам, Минцифры ещё должно сформировать техническую комиссию для приёма и закрытия уязвимостей совместно с разработчиками платформы. В «Ростелекоме», который является оператором «Госуслуг», пояснили СМИ, что не обладают данной информацией и не причастны к инициативе вывести «Госуслуги» на платформы багбаунти.
«Киберполигон» и Positive Technologies запустили в РФ аналог платформы HackerOne в апреле и мае этого года. Эксперты рынка считают, что фактически это российские агрегаторы по поиску уязвимостей, которые, с одной стороны, помогут компаниям, у которых часто возникают бюрократические проблемы по финансированию подобного мероприятия. Также данные платформы помогут самим этичным хакерам избежать обмана и проблем с невыплатами за обнаруженные ими уязвимости, а также текущих ограничений по их работе на зарубежных площадках.
В марте 2022 года HackerOne прекратила сотрудничество с российскими специалистами и багхантерами, заморозив их счета, а также отказалась работать со всеми клиентами из РФ и партнерами, включая уборку из своего сервиса всех совместных проектов с «Лабораторией Касперского».
