В Україні дозволили організовувати Bug Bounty. Що це змінить і як працюватиме

16 травня Уряд ухвалив розроблений фахівцями Держспецзв’язку Порядок проведення Bug Bounty для державних установ та приватних компаній.

«Це дасть можливість фахівцям легально тестувати системи й мережі на наявність вразливостей, а власникам — значно підвищувати рівень кіберзахисту систем шляхом усунення таких вразливостей», — зазначили тоді в пресслужбі Кабміну.

DOU звернувся із запитом до Держспецзв’язку з проханням розʼяснити, чому це нововведення важливе для України та як воно діятиме на практиці. Детально з постановою та супровідними документами можна ознайомитися за посиланням.

🟠 Що це змінює: розʼяснення від пресслужби Держспецзв’язку

Структури, які відповідальні за кіберзахист, періодично або за запитом проводять зовнішнє оцінювання захищеності веб-ресурсів. Раніше ми могли оцінювати лише ресурси органів державної влади. Зараз в Україні зростає кількість різноманітних публічних веб-сервісів — як державних, так і приватних — тож доцільно шукати вразливості й на таких платформах.

Раніше, відповідно до законодавства (стаття 361 Кримінального кодексу України), пошукова діяльність могла кваліфікуватись як втручання в роботу інформаційно-комунікаційних систем. У фахової спільноти зʼявився запит щодо декриміналізації цієї статті. Важливо було створити умови, щоб вразливості шукали, наприклад, приватні дослідники кібербезпеки на волонтерських засадах.

🟠 Пошук вразливостей на законних підставах

24 березня 2022 року прийняли закон «Про внесення змін до Кримінального кодексу України щодо підвищення ефективності боротьби з кіберзлочинністю в умовах дії воєнного стану». Після цього затвердили і порядок пошуку та виявлення потенційної вразливості. Він дає можливість на законних підставах залучати волонтерів, фахівців, приватних експертів із кібербезпеки. Це дозволяє суттєво підвищити загальний рівень кіберзахисту в країні.

Тож тепер пошук вразливостей має відбуватися в рамках Bug Bounty. Замовник (власник інформаційної системи) ініціює таку програму — самостійно оголошує про неї, встановлює призовий фонд або інші види заохочень.

Раніше подібного механізму в українському правовому полі не існувало. Але були окремі та вдалі випадки. Наприклад, подібні програми оголошували ProZorro, Київстар, Приватбанк, але це були швидше винятки з правила, а не загальна практика. До речі, Дія проводила Bug Bounty вже двічі.

Ми у Держспецзв’язку орієнтувались за загальносвітову практику, адже є чимало міжнародних платформ для проведення Bug Bounty. Прийняття цієї постанови викликало резонанс — до нас вже звернулися фахівці з кібербезпеки із бажанням співпраці. Надалі мова може йти і про створення національної програми Bug Bounty для органів державної влади на базі єдиної платформи, тоді як решта замовників матимуть право самостійно обирати рішення.

🟠 Як це працюватиме

Організація, яка хоче провести у себе Bug Bounty, формує умови (наприклад, закрита чи відкрита програма тощо) та оголошує їх. Після цього фахівці з приватного сектору виконують пошук вразливостей системи. Коли/якщо знаходять — повідомляють замовника, а він надалі приймає рішення, чи потребує ця вразливість внесення змін до інформаційної системи. Якщо так, то він має проінформувати про це урядову команду CERT-UA, СБУ і Кіберполіцію.

Замовник сам обирає форму винагороди. Це може бути як і грошовий приз, так і сувенірна продукція, подяка, символічна нагорода тощо. Якщо ж держорган вирішить встановити грошову винагороду, організація має сформувати відповідний запит й отримати фінансування в рамках бюджетного призначення.


Нагадаємо, Держспецзв’язку нещодавно опублікувала аналітичний звіт про кіберагресію росії проти України — «Russia’s Cyber Tactics: Lessons Learned 2022». Завантажити документ повністю можна за посиланням, а DOU підготував стислий переказ найважливішого.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU

👍ПодобаєтьсяСподобалось6
До обраногоВ обраному1
LinkedIn



7 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.

комісари йбні. замість видалити цю саттю взагалі, як чисте зло, вони підфарбували її, що виглядала не так огидно.

Подивимось на закон Лінуса в дії :)

а що вже можна тестувати зараз за баунті? поділіться проєктами

Усе підряд не можна, стаття 361 УК до двух років умовно коли самостійно. Якщо в групі осіб за попереднім згодом і коли заподіяно істотну шкоду (300 неоподатковуваних доходів громадян — тобто 5100₴), від трех до п’яти років. Тільки коли дозволено білий хакінг тобто BB — то ламай скільки хочеш, але сповіщай приватно про знайдені вразливості, та рапорти інші баги. Крекінг же, то карний злочин.

Дізнаємося, чи такі проєкти вже є, й опублікуємо їх перелік на DOU

Підписатись на коментарі