В Україні вперше відбувся марафон з пошуку багів в державній ІТ-системі
В країні вперше відбувся масштабний марафон з пошуку багів в державній системі. Prozorro запросило “білих” хакерів, аби перевірити систему закупівель на вразливість до кібератак.
“Ми стали першим держпідприємством, яке самостійно ініціювало співпрацю з “білими” хакерами. Bug bounty (ред. пошук багів за винагороду) навіть у комерційному секторі в Україні практикує дуже мало компаній. Хоча у світі — це тренд. Приміром, Google, Facebook, Microsoft витрачають мільйони доларів на програми для етичних хакерів. Адже ця стратегія дозволяє діяти на випередження — зробити систему стійкою ще до можливих атак”, — підкреслив гендиректор ДП “ПРОЗОРРО” Василь Задворний.
Україна стала дев’ятою країною у світі, яка публічно провела bug bounty у державному секторі. У світі досвід проведення подібних заходів мають лише Великобританія, Швейцарія, Сінгапур, США, Нідерланди, Росія, Франція та Японія.
Найбільше з білими хакерами співпрацюють в Америці. Власні bug bounty-програми мають Пентагон, армія США, Повітряні сили США.
В ЄС доcвід проведення bug bounty в державному секторі лише зароджується. У Великобританії минулоріч білі хакери перевірили урядові веб-сайти. В Гаазі цього року bug bounty проведе міська рада. В Швейцарії в цьому році білі хакери перевірили національну систему електронного голосування. В Сінгапурі лише другий рік як діє bug bounty програма.
В Україні вперше білі хакери тестували таку масштабну систему, як Prozorro. Призовий фонд хакерам склав $7 000 грошової винагороди та грант $10 000 на сертифікацію в навчальному центрі Softprom by ERC.
Хакерів відбирали на відкритому конкурсі. До участі запрошувалися українці з відповідним досвідом у кібербезпеці та баг-хантингу. Їх відбирала комісія з представників Prozorro, bug bounty платформи HackenProof, компанії OptiData та хмарного провайдера De Novo.
Марафон з пошуку багів проходив у закритому режимі. Хакери одночасно атакували систему протягом 7 годин. Щоб не завадити проведенню торгів, кіберфахівці працювали у тестовому середовищі. В результаті білі хакери надіслали 16 унікальних звітів. Вони аналізуватимуться на предмет валідності та потенційних вразливостей ІТ-командою. Жодної вразливості у центральній базі даних про закупівлі та модулі аукціонів хакери не виявили.
Участь у bug bounty марафоні Prozorro взяли 12 хакерів з українським громадянcтвом з областей та за кордону. Наймолодшому учаснику було лише 15 років, але він вже має досвід участі у bug bounty Google, SoundCloud та ще низки компаній.
За матеріалами: Finance.ua
Поділитися новиною