Минцифры заплатит «белым хакерам» за поиск уязвимостей в госсистемах

Министерство цифрового развития России снова обратится за помощью к «белым хакерам». До конца 2023 года ведомство планирует запустить новый проект Bug Bounty для 20 информационных систем. Представители министерства уверены, что такая практика, как и ранее, окажется высокоэффективной, учитывая успешный опыт в начале 2023 года на портале госуслуг.

Об этом на межрегиональной конференции по информационной безопасности (ИБ) «Инфофорум-Центр» в Туле сообщил заместитель директора департамента обеспечения кибербезопасности Минцифры Евгений Хасин.

Зимой министерство провело программу Bug Bounty на портале госуслуг, в результате которого белым хакерам удалось выявить уязвимости и ошибки в системе, заработав на этом около 2 млн рублей. Максимальная выплата за обнаруженную серьезную уязвимость составила 350 000 рублей, а минимальная – 10 000 рублей.

Представители пресс-службы Минцифры не ответили на вопросы корреспондента ComNews о сумме вознаграждений участникам на этот раз и для каких ИС министерство собирается запустить программу.

Технический директор компании по разработке систем сетевой и информационной безопасности Weblock (входит в холдинг «Гарда») Лука Сафонов в интервью изданию раскрыл среднюю стоимость выплат за нахождение уязвимостей на рынке:

«В среднем сумма выплат в РФ колеблется от 30 тыс. руб. до 70 тыс. руб., максимальная — около 4 млн руб., минимальная — в районе 5 тыс. руб. В целом, для сторон складывается «win-win стратегия»: компания получает прямой канал взаимодействия с пользователями, багхантеры — вознаграждение».

Ранее в проекте Bug Bounty по выявлению уязвимостей на портале «Госуслуги» участвовало около 8 500 человек. Возраст участников варьировался от 17 до 55 лет, при этом средний возраст экспертов составил 28 лет. Всего было обнаружено 34 уязвимости, многие из которых имели средний или низкий уровень критичности.

При этом белые хакеры работали исключительно с внешнего периметра и не имели доступа к внутренней информации портала госуслуг. Обнаруженные уязвимости были полностью контролируемы системами мониторинга, и хакерам было невозможно их эксплуатировать или использовать для компрометации данных.