Все о пенсиях в России

19.12.2024Путин поручил властям ДНР решать вопросы начисления пенсий без бюрократии

16.12.2024Депутат Бессараб: Средняя пенсия по старости вырастет почти до 25 тысяч рублей

14.12.2024В Госдуму внесут законопроект о ежегодной выплате 13-й пенсии ко дню рождения

Минцифры России рекрутирует хакеров

За законный взлом электронной госсистемы могут заплатить до миллиона рублей

22.02.2024 16:49

Автор: Мария Кузнецова

Минцифры России рекрутирует хакеров
  © freepik.com

Сайт госуслуг, Единую систему идентификации и аутентификации, систему межведомственного электронного взаимодействия ежедневно взламывают хакеры. Специально, за вознаграждение и по заказу Минцифры. Операция под названием «Багбаунти» привлекла уже около 14 тысяч охотников за багами, то есть уязвимостями. Сейчас, на втором этапе проекта, количество испытуемых госресурсов увеличилось в пять раз по сравнению с прошлым годом. Минцифры в своем Telegram-канале сообщило об успехах такого багхантинга и пригласило к сотрудничеству новых «охотников».

Обследовать внешний периметр

Багхантинг можно перевести с английского как «охота на баги». Соответственно, багхантеры — это охотники за уязвимостями, их еще называют белыми хакерами. Они ищут недочеты в информресурсах и сообщают разработчикам — обычно за вознаграждение, разумеется. Так, например, в прошлом году эксперт по информационной безопасности нашел в смартфонах Google Pixel критическую уязвимость, связанную с блокировкой. Компания недочет устранила, а взломщику заплатила 70 тысяч долларов.

Минцифры предлагает багхантерам вознаграждение в зависимости от степени опасности найденной уязвимости: от нескольких тысяч рублей за небольшую программную ошибку до миллиона — за критическую.

Первый этап «Багбаунти» стартовал в феврале прошлого года и продолжался до мая. Тогда более 8 тысяч человек проверяли на прочность два ресурса: портал госуслуги и Единую систему идентификации и аутентификации. Они нашли 37 уязвимостей и получили за работу в общей сложности 1,95 миллиона рублей: от 10 до 350 тысяч. Подводя итоги этого этапа, в Минцифры сообщили, что работа белых хакеров помогла улучшить безопасность госуслуг. При этом доступ к внутренним данным участники не имели, так как работали только на «внешнем периметре», а найденные уязвимости полностью контролировали системы мониторинга, чтобы их нельзя было использовать для взлома.

Хакеры из России обнародовали данные сотрудников украинских военкоматов

Испытать себя и систему

Второй этап проекта стартовал три месяца назад, в ноябре, и продлится ровно год. Почти 14 тысяч багхантеров проверяют уже десять систем электронного правительства. Добавили Единую биометрическую систему, Платформу обратной связи, Систему межведомственного электронного взаимодействия, Национальную систему управления данными, Единую информационную систему управления кадровым составом государственной гражданской службы, Головной удостоверяющий центр, Единую систему нормативной справочной информации и Госвеб. За эти три месяца они уже обнаружили 62 уязвимости, большинство из которых, впрочем, оказались некритичными. Максимальная сумма вознаграждения составила 500 тысяч рублей.

Как сообщил «Парламентской газете» интернет-аналитик Эльдар Муртазин, багхантинг уже можно считать обычной практикой, ибо «кто лучше проверит уязвимости систем, нежели те, кто их ломает». «Для хакеров это хороший способ заработать пусть и не такие большие деньги, но законные. Это такой особый тип людей, и для некоторых попытаться что-то взломать, испробовать свои силы — сродни спорту. Вот на них министерство и делает ставку», — отметил специалист.

Минцифры в своем Telegram-канале в очередной раз пригласило всех желающих багхантеров присоединиться к программе. Министерство напомнило, что для этого нужно зарегистрироваться на платформе BI.ZОNE Bug Bounty или Standoff 365 Bug Bounty, ознакомиться с условиями программы и приступать к поиску уязвимостей.

Вооружиться заранее

В прошлом году хакеры совершили более 600 миллионов кибератак только на портал госуслуг, и все их удалось отразить, сообщил в начале февраля вице-президент «Ростелекома» Игорь Ляпунов на выставке-форуме «Россия». Активность злоумышленников в этом направлении не снижается, до этого говорил и зампред правления Сбера Станислав Кузнецов. Более того, он предупредил, что в 2024 году сложность таких атак повысится из-за растущего «уровня квалификации и координации злоумышленников», передал его слова ТАСС.

Зампред Комитета Госдумы по безопасности и противодействию коррупции Анатолий Выборный считает, что сейчас госуслуги и прочие системы электронного правительства работают надежно. Однако в ближайшее время произойдет очень важное для России событие — выборы президента, — и «нужно быть готовыми, все проверить и лучше вооружиться, чтобы система выдержала нагрузки и отбила все нападки», подчеркнул он.

«Багхантинг — это реальная возможность с помощью экспертного сообщества проверить уязвимые места систем. Безопасность сейчас является ключевым фактором для их развития. Госресурсы должны быть готовы к неожиданностям, вызовам и угрозам, которые только могут быть», — сказал депутат «Парламентской газете».