«Госуслуги» прошли проверку «белоснежными хакерами». Об этом сообщает Минцифры.
В феврале Минцифры запустило проект по поиску уязвимостей на «Госуслугах». В течение трёх месяцев более 8,4 тыс. участников багбаунти проверяли защищённость портала и дрались за вознаграждение: подарки с символикой проекта - если сысканы маленькие баги, и денежные призы до 1 млн руб. - за критические уязвимости.
Итого максимальная выплата за сысканный баг составила 350 тыс. руб., минимальная - 10 тыс. руб. Всего было обнаружено 34 уязвимости, большинство из которых - со средним и невысоким уровнем критичности.
Минцифры сообщили, что проект привлёк более 8,4 тыс. белоснежных хакеров со всей страны. Средний возраст багхантеров составил 28 лет, самый маленький - 17, а максимальный - 55 лет.
Работа исследователей помогла улучшить систему безопасности «Госуслуг», но при этом доступа к внутренним данным у багхантеров не было. Участники работали только на наружном периметре, а сысканные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365. Спонсором проекта выступил «Ростелеком», РТК-Солар является оператором информационной защиты портала «Госуслуг». В будущем планируется и дальше проводить багбаунти «Госуслуг», а также расширить действие программы на иные ведомства.
«Платформа "Госуслуг", объединившая более 100 млн пользователей, - уникальный ресурс, которому сложно подобрать аналоги в мире. Это настоящий магнит для хакеров. В течение всего минувшего года и до сегодняшнего времени его надёжность проверяется в боевых условиях глобального киберпротивостояния. Мы разумеем, что в дни тотальной цифровизации невозможно гарантировать безукоризненную цифровую безопасность, из этого видно, особенно важно быть перед самим впереди киберпреступников. РТК-Солар, как оператор безопасности для «Госуслуг», выстоял под натиском исследователей. Мы благодарны всем, кто принял участие в багбаунти и помог сделать систему федерального значения ещё устойчивее. Программа в который раз доказала высокий уровень защиты платформы - ни одна собака участник не смог найти действительно серьёзной уязвимости. Мы уже реализуем изменения по конечным итогам прошедших испытаний и полагаемся, что аналогичные проекты станут превосходной практикой в будущем», - рассказывает старший вице-президент по информационной безопасности ПАО «Ростелеком», генеральный директор «РТК-Солар» Игорь Ляпунов.
«Готовность госучреждений публично проверять безопасность своих сервисов - с помпой шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности. Надеемся, что Минцифры станет образцом для иных организаций и вскоре ещё больше компаний станут влезть на багбаунти в публичном или закрытом формате и проверять безопасность усилиями нескольких тысяч наших ИБ-исследователей», - говорит руководитель направления багбаунти Standoff 365 Анатолий Иванов.
«Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти. За это краткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость. По отношению самостоятельных исследователей, они были рады и очень заинтересованы в возможности проверить на материальное благосостояние сервисы государственного масштаба, при этом получив за это внушительное вознаграждение», - рассказывает директор департамента анализа защищённости и сопротивления мошенничеству, директор по стратегии BI.ZОNE Евгений Волошин.
Фото: Unsplash.com