В 2022 году количество попыток взлома государственных ресурсов выросло на 80% по сравнению с 2021 г. Минцифры предлагает специалистам и всем желающим присоединиться к программе Bug Bounty, чтобы отработать новые сценарии взлома и найти максимум уязвимостей в защите государственных информационных систем.
Для этого Минцифры запускает пилотный проект по поиску уязвимостей в инфраструктуре электронного правительства. За успешную работу багхантеры получат до 1 млн рублей. Программа пройдёт на двух платформах в несколько этапов. В первом этапе, который продлится три месяца, участвуют портал государственных услуг (Госуслуги) и ЕСИА — единая система идентификации и аутентификации.
После каждого из этапов Минцифры подведёт итоги и анонсирует новые условия: сроки, бюджет, системы для проверки.
Программу спонсирует Ростелеком, призовой фонд составляет 10 млн рублей. Вознаграждение охотника за уязвимостями зависит от степени важности самой уязвимости:
- низкая — подарки с символикой проекта;
- средняя — до 50 тыс. рублей;
- высокая — от 50 до 200 тыс. рублей;
- критическая — до 1 млн рублей и благодарность от команды Минцифры.
Тестирование доступно на платформах:
Чтобы принять участие в Bug Bounty, нужно:
- Зарегистрироваться на выбранной платформе;
- Ознакомиться и согласиться с условиями программы;
- Найти уязвимость, не нарушая правил;
- Отправить информацию об уязвимости через платформу;
- Дождаться подтверждения уязвимости от Минцифры.
Исследователи будут действовать по установленным правилам. Работа на платформе позволит определить логику потенциальных хакеров, эти данные будут использованы для дополнительной защиты информационных систем.
Все подробности о программе и ссылки для регистрации можно найти на сайте «Госуслуг».
Bug Bounty — это публичная программа поиска уязвимостей за вознаграждение. Она позволяет привлечь независимых исследователей и сделать исследуемую систему ещё более безопасной.
