В начале февраля Минцифры запустило проект по поиску уязвимостей на «Госуслугах». В течение трёх месяцев более 8,4 тысяч участников багбаунти ­- программы проверяли защищённость портала и боролись за вознаграждение. Платформа ещё раз доказала высокий уровень прочности. Об этом расказала пресс-служба министерства цифрового развития, связи и массовых коммуникаций РФ.

Багбаунти - «вознаграждение за ошибку»

Средний возраст багхантеров составил 28 лет, минимальный – 17, а максимальный – 55 лет, уточнили в министерстве.

Подарки с символикой проекта были обещаны «белым хакерам», если ими будут найдены небольшие баги, а денежные призы до 1 млн руб. за – критические уязвимости. В итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей.

Участники проекта не имели доступа к внутренним данным, они работали только на внешнем периметре. Как пояснили в Минцифры, найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах Bi.Zone Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, «РТК-Солар» является оператором информационной защиты портала «Госуслуг».

По мнению организаторов, работа исследователей помогла улучшить систему безопасности «Госуслуг». «В будущем планируется и дальше проводить багбаунти «Госуслуг», а также расширить действие программы на другие ведомства», – заявили в Минцифры.

Настоящий магнит для хакеров

«Платформа "Госуслуг", объединившая более 100 млн пользователей, – уникальный ресурс, которому трудно подобрать аналоги в мире. Это настоящий магнит для хакеров. В течение всего прошлого года и до сегодняшнего времени его надёжность проверяется в боевых условиях глобального киберпротивостояния», – сказал  старший вице-президент по информационной безопасности «Ростелекома», генеральный директор «РТК-Солар».  Игорь Ляпунов.  Особенно важно быть на шаг впереди киберпреступников, считает он.

По мнению оператора безопасности для «Госуслуг», портал выстоял под натиском исследователей. «Мы благодарны всем, кто принял участие в багбаунти и помог сделать систему федерального значения ещё устойчивее. Программа ещё раз доказала высокий уровень защиты платформы – ни один участник не смог найти действительно серьёзной уязвимости», – заключили в «РТК-Солар». 

Готовность к публичному тестированию

В Минцифры представили мнения организаторов процесса, в рамках которого привлекается множество внештатных исследователей кибербезопасности. Руководитель направления багбаунти Standoff 365 Анатолий Иванов отметил, что готовность госучреждений публично проверять безопасность своих сервисов – важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности.

«Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти, - подчеркнул, директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.Zone Евгений Волошин. Он также увидел заинтересованность независимых исследователей в возможности проверить на прочность сервисы государственного масштаба, при этом получив внушительное вознаграждение.