Программа пройдет в несколько этапов. На первом – независимые исследователи проверят портал «Госуслуг» и Единую систему идентификации и аутентификации (ЕСИА). На следующих этапах список ресурсов будет расширен, а условия – обновлены, говорится в сообщении компании Bi.Zone, на платформе которой – Bi.Zone Bug Bounty – доступна регистрация для участников проекта.
Такой масштабный проект проводится впервые, отметили в компании. За успешную работу багхантеры могут получить до 1 млн руб. Размер вознаграждения зависит от степени критичности найденной уязвимости.
В Минцифры уточнили, что за найденную уязвимость с низкой критичностью багхантеры получат подарки с символикой проекта, со средней – до 50 тыс. руб., с высокой — от 50 тыс. до 200 тыс. руб., с критической — до 1 млн руб. Призовой фонд — 10 млн руб., программу спонсирует «Ростелеком».
Исследователи будут действовать по установленным правилам. Работа на платформе позволит определить логику потенциальных хакеров, эта информация будет использована для дополнительной защиты электронного правительства.
«Идея багбаунти и сама инициатива ведомства нацелены на то, чтобы популяризировать кибербезопасность, а также привлечь к этому механизму поиска уязвимостей внимание госсектора и частных компаний. Для багхантеров программа Минцифры — это возможность проявить себя в первом государственном проекте багбаунти, который касается целой страны, а не отдельной компании», —отметил директор департамента анализа защищенности и противодействия мошенничеству, директор по стратегии Bi.Zone Евгений Волошин.
Bi.Zone Bug Bounty связывает организации и независимых исследователей безопасности. На платформе компании размещают программы по поиску уязвимостей, в которых участвуют багхантеры. Они получают вознаграждение от владельцев программ за найденные уязвимости. Этот подход позволяет привлечь широкий круг специалистов к поиску слабых мест в системе безопасности.
В июне 2022 года Минцифры зафиксировало высокоуровневые DDoS-атаки на «Госуслуги», инициированные со стороны Украины. Ведомство назвало атаки «мощнейшими». «Системы безопасности и управления инфраструктурой работают в штатном режиме, данные пользователей надежно защищены, проникновений в инфраструктуру электронного правительства не зафиксировано», - заверяли тогда в Минцифры.
