В Україні дозволили організовувати Bug Bounty. Що це змінить і як працюватиме
16 травня Уряд ухвалив розроблений фахівцями Держспецзв’язку Порядок проведення Bug Bounty для державних установ та приватних компаній.
«Це дасть можливість фахівцям легально тестувати системи й мережі на наявність вразливостей, а власникам — значно підвищувати рівень кіберзахисту систем шляхом усунення таких вразливостей», — зазначили тоді в пресслужбі Кабміну.
DOU звернувся із запитом до Держспецзв’язку з проханням розʼяснити, чому це нововведення важливе для України та як воно діятиме на практиці. Детально з постановою та супровідними документами можна ознайомитися за посиланням.
🟠 Що це змінює: розʼяснення від пресслужби Держспецзв’язку
Структури, які відповідальні за кіберзахист, періодично або за запитом проводять зовнішнє оцінювання захищеності веб-ресурсів. Раніше ми могли оцінювати лише ресурси органів державної влади. Зараз в Україні зростає кількість різноманітних публічних веб-сервісів — як державних, так і приватних — тож доцільно шукати вразливості й на таких платформах.
Раніше, відповідно до законодавства (стаття 361 Кримінального кодексу України), пошукова діяльність могла кваліфікуватись як втручання в роботу інформаційно-комунікаційних систем. У фахової спільноти зʼявився запит щодо декриміналізації цієї статті. Важливо було створити умови, щоб вразливості шукали, наприклад, приватні дослідники кібербезпеки на волонтерських засадах.
🟠 Пошук вразливостей на законних підставах
24 березня 2022 року прийняли закон «Про внесення змін до Кримінального кодексу України щодо підвищення ефективності боротьби з кіберзлочинністю в умовах дії воєнного стану». Після цього затвердили і порядок пошуку та виявлення потенційної вразливості. Він дає можливість на законних підставах залучати волонтерів, фахівців, приватних експертів із кібербезпеки. Це дозволяє суттєво підвищити загальний рівень кіберзахисту в країні.
Тож тепер пошук вразливостей має відбуватися в рамках Bug Bounty. Замовник (власник інформаційної системи) ініціює таку програму — самостійно оголошує про неї, встановлює призовий фонд або інші види заохочень.
Раніше подібного механізму в українському правовому полі не існувало. Але були окремі та вдалі випадки. Наприклад, подібні програми оголошували ProZorro, Київстар, Приватбанк, але це були швидше винятки з правила, а не загальна практика. До речі, Дія проводила Bug Bounty вже двічі.
Ми у Держспецзв’язку орієнтувались за загальносвітову практику, адже є чимало міжнародних платформ для проведення Bug Bounty. Прийняття цієї постанови викликало резонанс — до нас вже звернулися фахівці з кібербезпеки із бажанням співпраці. Надалі мова може йти і про створення національної програми Bug Bounty для органів державної влади на базі єдиної платформи, тоді як решта замовників матимуть право самостійно обирати рішення.
🟠 Як це працюватиме
Організація, яка хоче провести у себе Bug Bounty, формує умови (наприклад, закрита чи відкрита програма тощо) та оголошує їх. Після цього фахівці з приватного сектору виконують пошук вразливостей системи. Коли/якщо знаходять — повідомляють замовника, а він надалі приймає рішення, чи потребує ця вразливість внесення змін до інформаційної системи. Якщо так, то він має проінформувати про це урядову команду CERT-UA, СБУ і Кіберполіцію.
Замовник сам обирає форму винагороди. Це може бути як і грошовий приз, так і сувенірна продукція, подяка, символічна нагорода тощо. Якщо ж держорган вирішить встановити грошову винагороду, організація має сформувати відповідний запит й отримати фінансування в рамках бюджетного призначення.
Нагадаємо, Держспецзв’язку нещодавно опублікувала аналітичний звіт про кіберагресію росії проти України — «Russia’s Cyber Tactics: Lessons Learned 2022». Завантажити документ повністю можна за посиланням, а DOU підготував стислий переказ найважливішого.
7 коментарів
Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.