В Украине впервые состоялся марафон по поиску багов в государственной ІТ-системе
В стране впервые состоялся масштабный марафон по поиску багов в государственной системе. Prozorro пригласило “белых” хакеров, чтобы проверить систему закупок на уязвимость к кибератакам.
“Мы стали первым госпредприятием, которое самостоятельно инициировало сотрудничество с “белыми” хакерами. Bug bounty (ред. поиск багов за вознаграждение) даже в коммерческом секторе в Украине практикует очень мало компаний. Хотя в мире — это тренд. К примеру, Google, Facebook, Microsoft тратят миллионы долларов на программы для этичных хакеров. Ведь эта стратегия позволяет действовать на опережение — сделать систему устойчивой еще до возможных атак”, — подчеркнул гендиректор ГП “ПРОЗОРРО” Василий Задворный.
Украина стала девятой страной в мире, которая публично провела bug bounty в государственном секторе. В мире опыт проведения подобных мероприятий имеют только Великобритания, Швейцария, Сингапур, США, Нидерланды, Россия, Франция и Япония.
Больше всего с белыми хакерами сотрудничают в Америке. Собственные bug bounty программы имеют Пентагон, армия США Воздушные силы США.
В ЕС опыт проведения bug bounty в государственном секторе только зарождается. В Великобритании в прошлом году белые хакеры проверили правительственные веб-сайты. В Гааге в этом году bug bounty проведет городской совет. В Швейцарии в этом году белые хакеры проверили национальную систему электронного голосования. В Сингапуре только второй год как действует bug bounty программа.
В Украине впервые белые хакеры тестировали такую масштабную систему, как Prozorro. Призовой фонд хакерам составил $7 000 денежного вознаграждения и грант $10 000 на сертификацию в учебном центре Softprom by ERC.
Хакеров отбирали на открытом конкурсе. К участию приглашались украинцы с соответствующим опытом в кибербезопасности и баг-хантинге. Их отбирала комиссия из представителей Prozorro, bug bounty платформы HackenProof, компании OptiData и облачного провайдера De Novo.
Марафон по поиску багов проходил в закрытом режиме. Хакеры одновременно атаковали систему в течение 7 часов. Чтобы не помешать проведению торгов, киберспециалисты работали в тестовой среде. В результате белые хакеры прислали 16 уникальных отчетов. Они будут анализироваться на предмет валидности и потенциальных уязвимостей ИТ-командой. Никакой уязвимости в центральной базе данных о закупках и модуле аукционов хакеры не обнаружили.
Участие в bug bounty марафоне Prozorro приняли 12 хакеров с украинским гражданством из областей и из-за рубежа. Самому младшему участнику было всего 15 лет, но он уже имеет опыт участия в bug bounty Google, SoundCloud и еще ряда компаний.
По материалам: Finance.ua
Поделиться новостью