Безопасность приложения «Дія»- один из приоритетов для Минцифры. Понимая скорость изменений в сфере кибербезопасности, в Министерстве второй раз запускают багбаунти приложения с призовым фондом в 1 млн грн ($35 000). Программа багбаунти предусматривает вознаграждение за каждую найденную уязвимость в коде. Это поможет выявить возможные недостатки и устранить их.

В декабре Минцифры проводила первый этап багбаунти. В нем участвовали «этические хакеры» — специалисты по поиску программных недочетов — со всего мира. В приложении не обнаружили уязвимостей, которые влияли бы на безопасность. На этот раз запускают второй этап багбаунти с новыми правилами. В нем сможет принять участие каждый (независимо от опыта и квалификации).

Второй этап багбаунти продлится 6 месяцев. Приоритет этого этапа – тестирование «Дія.Підпис». Не менее важной будет проверка создания электронных копий документов и их шеринга.

«Мы понимаем, что невозможно выстроить суперзащиту один раз и быть уверенным, что никто не сможет ее сломать. Вопрос киберзащиты требует постоянного обновления решений. Именно это мы и делаем, второй раз запуская багбаунти «Дії», и даем возможность каждому протестировать защищенность приложения и убедиться, что цифровые документы и сервисы — это безопасно. За каждый найденный баг получите вознаграждение. Мы делаем все для того, чтобы защитить государственные сервисы и выстроить доверие украинцев к ним», — отметил Вице-премьер-министр – Министр цифровой трансформации Украины Михаил Федоров.

Найденные уязвимости будут проанализированы командой специалистов, что позволит усилить систему защиты «Дії». В случае ее подтверждения будет выплачено вознаграждение. Оно будет делиться по нескольким категориям сложности: за обнаружение минимальной уязвимости (P5) — от 200 до 250 долларов, критической уязвимости (P1) – от 4100 до 4500 долларов.

«Проект USAID «Кибербезопасность критически важной инфраструктуры в Украине» рад поддержать запуск Минцифры очередного этапа багбаунти «Дії». Это позволит привлечь больше тестировщиков приложения в течение более длительного срока, поможет повысить уровень доверия к «Дії» и усилить безопасность сервиса. Такой шаг является неотъемлемой частью процесса цифровой трансформации. Проект также активно сотрудничает с рядом других стейкхолдеров для усиления киберстойкости Украины. Мы имеем налаженные партнерские связи с представителями украинского бизнеса и профильных УВО для развития кадрового потенциала и частного сектора для защиты критически важной инфраструктуры», — подчеркнул Тимоти Дубел, руководитель проекта USAID «Кибербезопасность критически важной инфраструктуры Украины».

Багбаунти будет проходить на платформе Bugcrowd, как и в прошлый раз. Это одна из крупнейших международных компаний, специализирующихся на кибербезопасности и багбаунти.

Зарегистрироваться можно по ссылке.

Важно, что для тестировщиков будет создана отдельная тестовая среда-копия приложения «Дія». Однако без доступа к внешним информационным системам: госреестрам, банковским системам (регистрация в приложении происходит через BankID) и информационным системам вендоров (функционал для шеринга документов).

Одно из главных преимуществ программ багбаунти – хакерам интересно искать сложные уязвимости, ведь от этого зависит размер вознаграждения. Чем сложнее уязвимость, тем больше вознаграждение. Когда систему тестируют одновременно многие люди с разным опытом и методами, это помогает эффективнее выявить потенциальные недостатки.

Реализация багбаунти происходит при поддержке международной платформы Bugcrowd и проекта Агентства по международному развитию США (USAID) «Кибербезопасность критически важной инфраструктуры Украины».