Минцифры России впервые привлечет широкий круг независимых специалистов по безопасности для проведения масштабного тестирования защищенности ресурсов электронного правительства. Багхантеры протестируют Госуслуги и единую систему идентификации и аутентификации (ЕСИА).
Максимальное вознаграждение за найденные уязвимости составит 1 000 000 рублей. 10 февраля 2023 года соответствующая программа запущена на платформе Standoff 365 Bug Bounty, разработанной компанией Positive Technologies.
В I квартале 2022 года количество атак, направленных на госучреждения, увеличилось практически в два раза по сравнению с последним кварталом 2021-го и продолжало расти в течение всего года. Государственные учреждения столкнулись с наибольшим количеством кибератак среди организаций: их доля от общего числа атак составила 17%, это на 2 п. п. больше, чем в 2021 году. Всего за 2022 год было зафиксировано 403 атаки, что на 25% больше, чем за 2021 год.
Действия злоумышленников в каждой третьей атаке приводили к утечке конфиденциальной информации, в том числе персональных данных. Тестирование госинформсистем с привлечением независимых экспертов позволит не только усилить безопасность этих систем, но и укрепить доверие граждан к цифровым сервисам.
На первом этапе в проекте примут учаcтие Госуслуги и единая система идентификации и аутентификации. Все действия исследователей будут регулироваться заранее установленными правилами.
Цель проекта — отследить логику и пути взлома, применяемые этичными хакерами, и использовать полученную информацию для усиления защищенности госинформсистем.
За найденные уязвимости исследователи смогут получить до 1 000 000 рублей в зависимости от уровня их опасности. По итогам этого этапа программа может быть масштабирована и на другие ресурсы.