В частности, поиск уязвимостей будет развернут в Единой биометрической системе, Единой системе идентификации и аутентификации, Единой системе нормативной справочной информации и других, сообщает «Коммерсант».
Первую программу Bug Bounty Минцифры запустило на «Госуслугах» в феврале текущего года. Она шла три месяца. Сейчас программа планируется на год с теми же партнерами. Выплата за каждую серьезную уязвимость, которую обнаружит «белый» хакер, может достигать 1 млн рублей в зависимости от значимости.
По итогам первого тестирования «Госуслуг», сообщало Минцифры, было обнаружено 34 значимых уязвимости, участие в программе приняли 8,4 тыс. специалистов. Максимальная выплата за найденную ошибку (со средним и низким уровнем опасности) составила 350 тыс. рублей, минимальная — 10 тыс. рублей.
Минцифры стало первым российским госорганом, который провел тестирование своих информационных систем на проникновение, хотя силовые структуры считали допуск «белых» хакеров к госсистемам легализацией компьютерной преступности. Между тем за рубежом практика Bug Bounty получила распространение в том числе в госсекторе.
Опыт Минцифры имеет важное значение для развития Bug Bounty, но пока трудно говорить о широком распространении инициативы на другие госкомпании и ведомства. Одна из причин — отсутствие технических и финансовых ресурсов для комплексного анализа уязвимостей, а также возможный дефицит кадров, отмечают эксперты.
Читайте также статью «Создание кибервойск и производство базовых станций сотовой связи: о чем говорил глава Минцифры на CNews Forum».
