В Минцифры запустили второй этап Bug Bounty — программы по поиску «белыми» хакерами уязвимостей на «Госуслугах» и других государственных порталах. За обнаружение «дыр» в защите хакерам заплатят от 30 тыс. до 1 млн рублей. Как «белые» хакеры помогают усиливать защиту государственных сайтов и какие перспективы есть у их работы, выясняли «Известия».
Награждение хакеров
О запуске второго этапа программы Bug Bounty официально объявили на сайте Минцифры. Как следует из сообщения, новый этап программы продлится год, а не три месяца, как предыдущий. Кроме того, Bug Bounty расширили на все системы электронного правительства.
Уязвимости можно искать не только на портале «Госуслуги» и в единой системе идентификации и аутентификации (ЕСИА), но также в единой биометрической системе, платформе обратной связи и системе межведомственного электронного взаимодействия. Кроме того, поиск уязвимостей доступен в национальной системе управления данными, единой информационной системе управления кадровым составом государственной гражданской службы, головном удостоверяющем центре и в единой системе нормативной справочной информации.
Сумма вознаграждения будет зависеть от степени опасности обнаруженной «дыры»: низкая оценивается до 30 тыс. рублей, средняя — до 100 тыс. рублей, высокая — до 300 тыс., а критическая — до 1 млн рублей. Во время первого этапа Bug Bounty, проходившего с февраля по май 2023 года, «белые» хакеры выявили 37 уязвимостей, которые уже устранили. Общая сумма вознаграждений составила 1,95 млн рублей, отметили в Минцифры.
Кто такие «белые» хакеры
Как объясняет «Известиям» коммерческий директор компании «Код безопасности» Федор Дбар, всё хакерское сообщество можно условно разделить на «черных» и «белых». К первым относятся те, кто использует свои навыки для заработка либо хулиганства. Ко вторым — специалисты, которые применяют искусство взлома различных сетей и IT-инфраструктуры, чтобы объекты могли увидеть собственные уязвимости и исправить их.
— То есть «белые», найдя уязвимость, не воспользуются ею, а составят подробный отчет и передадут соответствующей организации. А вот «черные» не только украдут информацию, но и постараются получить за нее что-то материальное, — рассказывает Дбар.
По его словам, «белые», они же этичные хакеры или пентестеры, появились, как только в мире начали создаваться компьютеры, ведь проверка на сопротивляемость взлому — один из главных методов оценки уровня безопасности. Впервые о честных взломщиках стало широко известно еще в 1980-е годы, когда минобороны США начало привлекать хакеров к работе для тестирования IT-инфраструктур своих объектов.
Со временем пентест стал неотъемлемой частью «безопасников», а частные компании и государственные организации принялись организовывать собственные программы Bug Bounty, в рамках которых либо нанимали этичных хакеров и позволяли им взламывать IT-инфраструктуры, либо в целом кидали клич в интернете и предлагали денежное вознаграждение любому, кто найдет критические уязвимости.
— Для России это относительно молодое направление, но в последнее время крупные компании, например «Яндекс» или «Ростелеком», регулярно организуют программы Bug Bounty и чемпионаты по пентесту, — отмечает Федор Дбар.
Легализация хакеров
Само понятие Bug Bounty — конкурса для этичных хакеров, желающих заработать на поиске уязвимостей, — в Минцифры предлагали внести в действующее законодательство еще летом 2022 года. В законопроекте, разработанном ведомством, речь шла о внесении изменений в статью 272 («Неправомерный доступ к компьютерной информации») УК РФ.
Однако тогда движение проекта осложнилось из-за позиции некоторых ведомств, посчитавших зыбкой грань между легальными и уголовно наказуемыми действиями. Год спустя, в минувшем июне, к теме вернулся уже Совет по развитию цифровой экономики при Совете Федерации, в котором призвали ускорить работу над законопроектом. По мнению зампреда совета Артема Шейкина, это позволит «активизировать тех исследователей, которые опасаются правовых последствий».
А в октябре член комитета Госдумы по информационной политике Антон Немкин разработал пакет законопроектов, направленных на легализацию добросовестных взломщиков. В них предлагалось внести поправки в УК РФ, Гражданский кодекс (ГК) РФ, а также в федеральный закон «Об информации, информационных технологиях и о защите информации».
Как объяснял Немкин, предложенные поправки в УК РФ направлены на исключение риска привлечения к ответственности тех, кто тестирует защищенность информсистем в соответствии с требованиями закона об информации. В свою очередь поправки в ГК РФ должны были закрепить в нем возможности изучения, исследования или испытания функционирования программ в целях выявления уязвимостей для исправления явных ошибок.
«Третьей инициативой вносятся изменения в закон об информации, поправками предлагается закрепить возможность обладателя информации, оператора информационных систем в порядке (…) проводить мероприятия по выявлению уязвимостей информсистем, в том числе с привлечением лиц, не являющихся его работниками», — отметил депутат.
Таким образом, по словам Немкина, нововведение «позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей и соответствующей программы». А сами нормы «позволят закрепить механизм проведения мероприятий по выявлению слабых мест в системе безопасности, которые могут использовать злоумышленники, что позволит своевременно реагировать на возможные угрозы».
В ноябре в Центре стратегических разработок (ЦСР) прошло обсуждение законопроектов о легализации «белых» хакеров. На нем присутствовали и сами взломщики, которые в целом поддержали идею и поделились своими предложениями о ее доработке.
Как говорит Антон Немкин в беседе с «Известиями», сегодня в России сложилась ситуация, при которой, несмотря на очевидную пользу «белых» хакеров, те находятся в уязвимом положении с точки зрения законодательства. По мнению депутата, это весьма странно, поскольку работа по защите цифрового контура должна вестись на опережение, а специалисты, которые способны превентивно указать на те или иные ошибки в системе, как раз могут с этим помочь.
— Особенно это важно сейчас, когда речь идет о защите огромных массивов персональных данных наших граждан, а также доступа к ключевым государственным системам и сервисам в условиях беспрецедентных по масштабам и агрессивности внешних атак, — отмечает собеседник.
Аудит уязвимости систем «белыми» хакерами должен быть не просто систематическим, а постоянным, считает депутат. А предложенные законопроекты должны облегчить этот процесс и сделать его правомерным. По словам Немкина, в работе над ними принимают участие ФСТЭК, Минцифры, Роскомнадзор, МВД, ФСБ, а также VK, «Тинькофф», Ozon и другие заинтересованные платформы и ведомства. На данный момент больше всего вопросов вызывает законопроект, предлагающий внесение изменений в УК РФ.
Что касается рисков, которые может повлечь за собой легализация деятельности «белых» хакеров в России, то этот вопрос также прорабатывается, говорит Немкин. Главная проблема в том, не станут ли пользоваться возможностями, которые получат этичные хакеры, их неэтичные коллеги.
— Нужно понимать, что мы точно не «развязываем» хакерам руки, — за их деятельностью также будут внимательно следить уполномоченные ведомства, любое серьезное нарушение повлечет за собой ответственность, — подчеркивает депутат. — Наша задача — сделать так, чтобы эта ответственность не наступала безосновательно.
По словам Антона Немкина, сегодня, среди прочего, обсуждается создание платформы, которая могла бы максимально упростить взаимодействие «белых» хакеров с компаниями. Такая система могла бы проводить верификацию хакеров, определять их надежность и позже давать возможность размещать сообщения об уязвимостях. Получив соответствующие уведомления, компании могли бы связываться с хакерами, чтобы уточнить детали сообщений или же отблагодарить их авторов.
Спрос на взломщиков
По словам заведующей кафедрой математики факультета информационных технологий университета «Синергия» Жанны Мекшеневой, в России услуги «белых» хакеров чаще всего заказывает бизнес. В то же время сегодня заметен рост интереса к честным взломщикам у госорганов и госкомпаний.
— Это объясняется тем, что за прошлый год в связи с геополитической обстановкой выросло число кибератак на IT-инфраструктуру отечественных компаний. Необходимо поддерживать информационную безопасность своих информационных систем и баз данных, — отмечает она.
Как говорит Федор Дбар, в случае своей «легализации» «белые» хакеры не получат никаких удостоверений о работе и полномочиях. Дело скорее в том, что Федеральная служба по техническому и экспортному контролю (ФСТЭК) в рамках своих требований по безопасности разработки софта указывает на необходимость внешнего аудита.
— Это в том числе и работа хакеров, которая нужна, чтобы понять, насколько софт защищен от атак, — говорит собеседник «Известий». — Поэтому Минцифры своим решением о проведении программы Bug Bounty следует трендам и показывает прогрессивный подход в вопросе повышения безопасности своих ресурсов.
По мнению экспертов, опрошенных «Известиями», идея «легализации» хакеров принесет позитивные изменения: дело в том, что сотрудники, находящиеся внутри системы, не могут объективно оценить ее на все 100%. Даже если разработчик знает все нюансы своего продукта, ему всё равно нужны специальные люди — тестировщики, которые свежим взглядом заметят «узкие» места. Но таких специалистов часто не хватает, поэтому важно представлять продукт независимым экспертам.
— На практике это приносит хороший результат в плане повышения уровня безопасности. Похожая история есть в киноиндустрии: во время съемок какой-либо картины специальные люди оценивают ее потенциальную коммерческую привлекательность, а затем создаются фокус-группы для окончательного резюме, — говорит Федор Дбар.
При этом, считает специалист, идея несет в себе серьезные риски. Самый очевидный — в том, что хакеры, получив доступ к продукту и инфраструктуре (и совершенно безнаказанно), могут сменить «белый» цвет на «черный». Либо использовать полученные во время пентеста знания для создания более эффективного вектора атаки. Впрочем, как показывает практика, такие случаи единичны.
— Главный способ снизить риски — заключать договоры, чтобы хакеры, получающие какую-либо информацию, не были анонимны и, кроме того, к ним могли применяться юридические рычаги воздействия. Не будет удивительным, если для пентеста хакерам потребуется учетная запись на «Госуслугах». Таким образом, если кто-то захочет навредить атакуемой системе, его будет проще контролировать, — отмечает эксперт «Кода безопасности».
Кроме того, добавляет руководитель направления анализа защищенности Angara Security Роман Просветов, регуляторам, бизнесу и ИБ-рынку необходимо сформировать единые критерии, по которым можно дифференцировать работу действительно честных хакеров и преступников, которые могут воспользоваться легализацией. Сегодня даже в сфере анализа защищенности нет сформулированных критериев, которые позволяли бы оценить уровень экспертизы и качество услуг «на входе» — а это влияет на общий уровень аудита ИБ-компаний.