Что происходит
Минцифры до конца года запустит для «Госуслуг» программу bug bounty — поиск уязвимостей за вознаграждение. Для этого привлекут «белых хакеров».
Почему это важно
На «Госуслугах» участились попытки взлома учетных записей россиян. Получив доступ к их личным данным, мошенники могут не только украсть деньги, но и переоформить недвижимость.
Контекст
Пока неизвестно, какая компания займется поиском уязвимостей в системе «Госуслуг». В 2022 году в России уже появилось несколько платформ, предлагающих услуги «белых хакеров». Среди их клиентов Rambler&Co, «Авито» и VK.
Мировая практика
Apple заплатила студенту $100 тыс. за взлом iPhone и Mac. А Microsoft за один только год выплатила 335 «белым хакерам» $13,7 млн.
Что происходит
Минцифры планирует запустить для портала «Госуслуги» программу bug bounty, то есть предложит пользователям найти уязвимости и баги за вознаграждение. По словам главы ведомства Максута Шадаева, портал будут взламывать до конца года.
- Он уточнил, что для обнаружения «дыр» в системе безопасности министерство «максимально задействует
белых хакеров ». - Шадаев объяснил, что огромные ресурсы киберпреступников направлены на то, чтобы парализовать работу сервиса.
Всегда сложно признавать свои ошибки и недоработки в кибербезопасности. Однако мы считаем, что лучше смотреть на эти риски открыто и работать на опережение.
Максут Шадаев
глава Минцифры
- Он подчеркнул, что ведомство примет участие в такой программе «первым» (на государственном уровне. — Прим. ред.).
Ранее, в июле 2022 года, «Ведомости» писали о том, что Минцифры планирует легализовать деятельность «белых хакеров». Для этого, по словам источников, планируется законом закрепить понятие bug bounty и запустить программу бонусов для тестировщиков. Сейчас же деятельность в рамках bug bounty для государственных систем может считаться уголовным преступлением по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».
Почему это важно
В последнее время на «Госуслуги» значительно участились хакерские атаки, фиксируется и рост попыток взломать учетные записи россиян. Как пишут «Известия», портал отражает «нападения» почти каждый день. Например, 23–24 июня 2022 года Минцифры заблокировало более 46 тыс. IP-адресов, участвующих в DDoS-атаке.
- По мнению экспертов, растущий интерес киберпреступников к порталу связан с расширением спектра услуг на нем.
- Злоумышленники могут получить доступ к большому количеству данных пользователей — в личном кабинете хранятся номера паспорта, СНИЛС, ИНН, ОМС и ДМС, информация об автомобиле и недвижимости и электронно-цифровая подпись, предупреждают специалисты.
- С помощью этих данных можно не только украсть деньги, но и распорядиться чужим имуществом. Известны случаи, когда мошенники получали доступ к электронной подписи, переоформляли недвижимость и продавали ее.
- Один из самых популярных методов кражи учетных записей — фишинговые письма, которые внешне можно спутать с реальными уведомлениями от «Госуслуг». Настоящие сообщения могут приходить только с адреса no-reply@gosuslugi.ru.
Киберпреступники также могут продавать личные данные с аккаунтов пользователей — такие предложения стали чаще появляться в даркнете. В 2021 году они продавались по цене около 40 рублей за учетную запись, по данным сервиса по мониторингу уязвимостей в хранении данных DeviceLock.
Контекст
Пока неизвестно, какая компания займется поиском уязвимостей в системе «Госуслуг». С иностранными платформами работать стало затруднительно. Так, в марте 2022-го популярная международная платформа
- В мае 2022 года разработчики из Positive Technologies представили платформу The Standoff 365 Bug Bounty. Зарегистрированные на ней «белые хакеры» могут получить вознаграждение от 5 тыс. до 400 тыс. рублей. За 3 месяца проект привлек 1,8 тыс. специалистов. В сентябре медиахолдинг Rambler&Co предложил им протестировать свои наиболее важные сервисы, например сайты «Ленты.ру», «Газеты.Ru», «Чемпионата». Свои программы bug bounty запустили также «Азбука вкуса», VK и Skillbox.
- В июле похожий проект запустил «Ростелеком», однако его отличие в том, что это облачный сервис контроля уязвимостей. Технологии по защите ИТ-инфраструктуры из облака Vulnerability Management могут позволить себе не только крупные организации, но и малый и средний бизнес.
- В августе компания по управлению цифровыми рисками BI.ZONE представила свою платформу. Она будет выплачивать «белым хакерам» до 300 тыс. рублей. Первым заказчиком BI.ZONE стал сервис «Авито».
Мировая практика
Крупные ИТ-компании готовы платить «белым хакерам» огромные деньги за поиск багов.
- В январе 2022 года Apple заплатила студенту Технологического института Джорджии $100 тыс., после того как он взломал iPhone и Mac. Это самое большое вознаграждение, которое когда-либо предлагала компания. В августе корпорация признала, что в iOS для iPhone (начиная с iPhone 6S) и нескольких моделях iPad был баг, который позволял хакерам выдавать себя за владельцев устройств. В компании отметили, что его вскоре устранили.
- В феврале 2022 года хакер из HackerOne нашел уязвимость в криптовалютной бирже Coinbase. Пришлось даже приостановить торговлю на ее платформе для розничных клиентов. В Coinbase заявили, что средства клиентов не пострадали.
- В августе 2021 года «белый хакер» спаc еще один криптовалютный проект, зафиксировав баг в SushiSwap. Он грозил потерей валюты Ethereum на сумму около $350 млн (по курсу на тот момент).
- Корпорация Microsoft за один только год (с 1 июля 2021-го по 30 июня 2022-го) выплатила $13,7 млн 335 специалистам в 46 странах. Самое крупное вознаграждение по программе bug bounty составило $200 тыс.