Минцифры России рекрутирует хакеров

Сайт госуслуг, Единую систему идентификации и аутентификации, систему межведомственного электронного взаимодействия ежедневно взламывают хакеры. Специально, за вознаграждение и по заказу Минцифры. Операция под названием «Багбаунти» привлекла уже около 14 тысяч охотников за багами, то есть уязвимостями. Сейчас, на втором этапе проекта, количество испытуемых госресурсов увеличилось в пять раз по сравнению с прошлым годом. Минцифры в своем Telegram-канале сообщило об успехах такого багхантинга и пригласило к сотрудничеству новых «охотников».

Обследовать внешний периметр

Багхантинг можно перевести с английского как «охота на баги». Соответственно, багхантеры — это охотники за уязвимостями, их еще называют белыми хакерами. Они ищут недочеты в информресурсах и сообщают разработчикам — обычно за вознаграждение, разумеется. Так, например, в прошлом году эксперт по информационной безопасности нашел в смартфонах Google Pixel критическую уязвимость, связанную с блокировкой. Компания недочет устранила, а взломщику заплатила 70 тысяч долларов.

Первый этап «Багбаунти» стартовал в феврале прошлого года и продолжался до мая. Тогда более 8 тысяч человек проверяли на прочность два ресурса: портал госуслуги и Единую систему идентификации и аутентификации. Они нашли 37 уязвимостей и получили за работу в общей сложности 1,95 миллиона рублей: от 10 до 350 тысяч. Подводя итоги этого этапа, в Минцифры сообщили, что работа белых хакеров помогла улучшить безопасность госуслуг. При этом доступ к внутренним данным участники не имели, так как работали только на «внешнем периметре», а найденные уязвимости полностью контролировали системы мониторинга, чтобы их нельзя было использовать для взлома.

Хакеры из России обнародовали данные сотрудников украинских военкоматов

Испытать себя и систему

Второй этап проекта стартовал три месяца назад, в ноябре, и продлится ровно год. Почти 14 тысяч багхантеров проверяют уже десять систем электронного правительства. Добавили Единую биометрическую систему, Платформу обратной связи, Систему межведомственного электронного взаимодействия, Национальную систему управления данными, Единую информационную систему управления кадровым составом государственной гражданской службы, Головной удостоверяющий центр, Единую систему нормативной справочной информации и Госвеб. За эти три месяца они уже обнаружили 62 уязвимости, большинство из которых, впрочем, оказались некритичными. Максимальная сумма вознаграждения составила 500 тысяч рублей.

Минцифры в своем Telegram-канале в очередной раз пригласило всех желающих багхантеров присоединиться к программе. Министерство напомнило, что для этого нужно зарегистрироваться на платформе BI.ZОNE Bug Bounty или Standoff 365 Bug Bounty, ознакомиться с условиями программы и приступать к поиску уязвимостей.

Вооружиться заранее

В прошлом году хакеры совершили более 600 миллионов кибератак только на портал госуслуг, и все их удалось отразить, сообщил в начале февраля вице-президент «Ростелекома» Игорь Ляпунов на выставке-форуме «Россия». Активность злоумышленников в этом направлении не снижается, до этого говорил и зампред правления Сбера Станислав Кузнецов. Более того, он предупредил, что в 2024 году сложность таких атак повысится из-за растущего «уровня квалификации и координации злоумышленников», передал его слова ТАСС.

Зампред Комитета Госдумы по безопасности и противодействию коррупции Анатолий Выборный считает, что сейчас госуслуги и прочие системы электронного правительства работают надежно. Однако в ближайшее время произойдет очень важное для России событие — выборы президента, — и «нужно быть готовыми, все проверить и лучше вооружиться, чтобы система выдержала нагрузки и отбила все нападки», подчеркнул он.