Максут Шадаев анонсировал bug bounty по госуслугам на IT Gover | ГОС ИТ Богатырёва

Максут Шадаев анонсировал bug bounty по госуслугам на IT Government Day

Что же это такое? Bug bounty — способ поиска уязвимостей и багов за вознаграждение. Чаще всего он применяется в крупных IT-компаниях: несколько дней «белые» хакеры ищут уязвимости в их системах и описывают найденные проблемы. За это им платят очень неплохие деньги.

Минцифры хочет провести Bug bounty до конца года. Мотивация понятна. С начала 2022 года количество атак на российские госорганы выросло. Госуслуги тоже подвергались атакам. Максут Шадаев сообщил на форуме, что пока критичных последствий от этих атак не было. Но это, конечно, не повод расслабляться.

Других подробностей пока нет. Главные вопросы:
• Мероприятие будет закрытым или открытым? В нем смогут участвовать обычные пользователи — или только отобранные профессиональные хакеры?
• Как будут защищать найденные уязвимости от мгновенных атак?
• Какая будет нормативная база?

Немного бэкграунда. В июле появилась информация, что Минцифры разрабатывает НПА о bug bounty. Сейчас такого понятия в законе нет, и эта область никак не регулируется. Основная проблема «белых» хакеров — риск уголовного преследования. Если программист находит уязвимость в чужой программе, его могут посадить за «неправомерный доступ к компьютерной информации».

В то же время, многие российские компании активно используют bug bounty. Конечно, они подписывают договор с хакером, но это полностью не защищает от уголовного преследования. Знаю как минимум один прецедент уголовного дела от ФСБ за «белое» хакерство.

В общем, радуют и новости о разработке закона, и перспектива bug bounty на госуслугах. Будем следить за этой историей дальше

#мнение