Вице-президент компании «Ростелеком» по информационной безопасности Игорь Ляпунов заявил СМИ, что за прошедший год утечек данных пользователей из государственных «облачных» ресурсов и из сервиса «Госуслуг» не было.
Специалисты «Ростелекома» отвечают за безопасность портала «Госуслуги» и за работу ЕСИА (Единой системы идентификации и аутентификации).
«За прошедший год ничего из «гособлаков» и из «Госуслуг» не утекло», — пояснил Ляпунов. Глава по ИБ госкомпании отметил важность переноса IT-инфраструктуры в «облачные» сервисы «Ростелекома», в частности, перевода туда государственных информационных систем и государственных ресурсов. По его словам, это большой шаг к защищённости и блокировкам от утечек данных.
Специалисты по ИБ Лука Сафонов («Киберполигон», Bug Bounty Ru) и Ашот Оганесян (сервис поиска утечек и мониторинга даркнета DLBI) пояснили Хабру, что утечек из «Госуслуг» в прошлом году действительно не было. По уточнению Оганесяна, были утечки из региональных информационных систем, данные из которых использовались для перебора идентификаторов пользователей из ЕСИА портала «Госуслуги». «Ростелеком» отвечает за федеральные «Госуслуги», а утекло из региональных, так что классическое заявление «у нас утечек не было» вроде бы работает.
В октябре 2022 года в «Ростелекоме» сообщили, что компания провела техническое расследование и установила, что база из 2,5 млн записей, которую кибермошенники продают как «третий фрагмент базы Госуслуг» не имеет отношения к порталу «Госуслуги». «Так же как и файл, о котором были сообщения 11 октября 2022 года, база не содержит набора параметров, которые обязательно присутствуют в стандартных учётных записях „Госуслуг“. Вместе с тем, в базе присутствует ряд идентификаторов, которые в „Госуслугах“ не содержатся: наименование информационной системы, данные о статусе проверки паспорта гражданина и ряд других. Значит, эти данные не могли быть выгружены из информационных систем портала», — сказали в пресс-службе «Ростелекома».
10 февраля Минцифры запустило проект по поиску уязвимостей в «Госуслугах» и других ресурсах электронного правительства. Тестирование доступно на платформе BI.ZONE Bug Bounty. На первом независимые исследователи могут проверит портал «Госуслуг» и ЕСИА. За успешную работу багхантеры могут получить до миллиона рублей и благодарность от команды Минцифры. Размер вознаграждения зависит от степени критичности найденной уязвимости.
