Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 30
×

В Україні дозволили організовувати Bug Bounty. Що це змінить і як працюватиме

16 травня Уряд ухвалив розроблений фахівцями Держспецзв’язку Порядок проведення Bug Bounty для державних установ та приватних компаній.

«Це дасть можливість фахівцям легально тестувати системи й мережі на наявність вразливостей, а власникам — значно підвищувати рівень кіберзахисту систем шляхом усунення таких вразливостей», — зазначили тоді в пресслужбі Кабміну.

DOU звернувся із запитом до Держспецзв’язку з проханням розʼяснити, чому це нововведення важливе для України та як воно діятиме на практиці. Детально з постановою та супровідними документами можна ознайомитися за посиланням.

🟠 Що це змінює: розʼяснення від пресслужби Держспецзв’язку

Структури, які відповідальні за кіберзахист, періодично або за запитом проводять зовнішнє оцінювання захищеності веб-ресурсів. Раніше ми могли оцінювати лише ресурси органів державної влади. Зараз в Україні зростає кількість різноманітних публічних веб-сервісів — як державних, так і приватних — тож доцільно шукати вразливості й на таких платформах.

Раніше, відповідно до законодавства (стаття 361 Кримінального кодексу України), пошукова діяльність могла кваліфікуватись як втручання в роботу інформаційно-комунікаційних систем. У фахової спільноти зʼявився запит щодо декриміналізації цієї статті. Важливо було створити умови, щоб вразливості шукали, наприклад, приватні дослідники кібербезпеки на волонтерських засадах.

🟠 Пошук вразливостей на законних підставах

24 березня 2022 року прийняли закон «Про внесення змін до Кримінального кодексу України щодо підвищення ефективності боротьби з кіберзлочинністю в умовах дії воєнного стану». Після цього затвердили і порядок пошуку та виявлення потенційної вразливості. Він дає можливість на законних підставах залучати волонтерів, фахівців, приватних експертів із кібербезпеки. Це дозволяє суттєво підвищити загальний рівень кіберзахисту в країні.

Тож тепер пошук вразливостей має відбуватися в рамках Bug Bounty. Замовник (власник інформаційної системи) ініціює таку програму — самостійно оголошує про неї, встановлює призовий фонд або інші види заохочень.

Раніше подібного механізму в українському правовому полі не існувало. Але були окремі та вдалі випадки. Наприклад, подібні програми оголошували ProZorro, Київстар, Приватбанк, але це були швидше винятки з правила, а не загальна практика. До речі, Дія проводила Bug Bounty вже двічі.

Ми у Держспецзв’язку орієнтувались за загальносвітову практику, адже є чимало міжнародних платформ для проведення Bug Bounty. Прийняття цієї постанови викликало резонанс — до нас вже звернулися фахівці з кібербезпеки із бажанням співпраці. Надалі мова може йти і про створення національної програми Bug Bounty для органів державної влади на базі єдиної платформи, тоді як решта замовників матимуть право самостійно обирати рішення.

🟠 Як це працюватиме

Організація, яка хоче провести у себе Bug Bounty, формує умови (наприклад, закрита чи відкрита програма тощо) та оголошує їх. Після цього фахівці з приватного сектору виконують пошук вразливостей системи. Коли/якщо знаходять — повідомляють замовника, а він надалі приймає рішення, чи потребує ця вразливість внесення змін до інформаційної системи. Якщо так, то він має проінформувати про це урядову команду CERT-UA, СБУ і Кіберполіцію.

Замовник сам обирає форму винагороди. Це може бути як і грошовий приз, так і сувенірна продукція, подяка, символічна нагорода тощо. Якщо ж держорган вирішить встановити грошову винагороду, організація має сформувати відповідний запит й отримати фінансування в рамках бюджетного призначення.


Нагадаємо, Держспецзв’язку нещодавно опублікувала аналітичний звіт про кіберагресію росії проти України — «Russia’s Cyber Tactics: Lessons Learned 2022». Завантажити документ повністю можна за посиланням, а DOU підготував стислий переказ найважливішого.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU

👍ПодобаєтьсяСподобалось6
До обраногоВ обраному1
LinkedIn

Схожі статті




7 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.

комісари йбні. замість видалити цю саттю взагалі, як чисте зло, вони підфарбували її, що виглядала не так огидно.

Подивимось на закон Лінуса в дії :)

а що вже можна тестувати зараз за баунті? поділіться проєктами

Можна все що неправильно лежить, але враховуйте що це неофіційна позиція.

Усе підряд не можна, стаття 361 УК до двух років умовно коли самостійно. Якщо в групі осіб за попереднім згодом і коли заподіяно істотну шкоду (300 неоподатковуваних доходів громадян — тобто 5100₴), від трех до п’яти років. Тільки коли дозволено білий хакінг тобто BB — то ламай скільки хочеш, але сповіщай приватно про знайдені вразливості, та рапорти інші баги. Крекінг же, то карний злочин.

Дізнаємося, чи такі проєкти вже є, й опублікуємо їх перелік на DOU

Підписатись на коментарі