Минцифры России запустило третий этап программы по поиску уязвимостей в инфраструктуре электронного правительства. Программа, которая была запущена с целью улучшения безопасности ключевых государственных цифровых сервисов, продолжит свою работу до 20 декабря 2026 года. Этот этап также будет отличаться более открытым форматом участия, так как в нём может принять участие любой желающий.

Основные цели программы В рамках нового этапа багхантеры (специалисты по поиску уязвимостей) будут проверять цифровую инфраструктуру 9 государственных сервисов, включая такие важные элементы, как Госуслуги и Единая биометрическая система. Основная цель программы — обеспечить максимально высокий уровень безопасности при обработке персональных данных граждан и взаимодействии с государственными структурами через интернет.

Министерство цифрового развития утверждает, что на протяжении всего этапа будут проверяться только внешние компоненты систем, что значит отсутствие доступа к внутренним данным и базам пользователей. Такой подход обеспечит надежную защиту систем во время проведения тестов и снизит риски утечек данных.

Принципы работы и участие Как и в предыдущих этапах, этот процесс будет проходить под строгим контролем. Все действия багхантеров будут координироваться на специальных платформах, таких как BI.ZONE и Standoff 365. Для участия в программе требуется обязательная регистрация на одной из этих платформ. После регистрации участникам будут предоставлены точные инструкции и доступ к нужным элементам системы для поиска уязвимостей.

Программа открыта для участников с разным уровнем подготовки, от новичков до опытных специалистов по информационной безопасности. Такой подход позволяет привлекать как независимых исследователей, так и профессиональных хакеров, что значительно повышает эффективность поиска уязвимостей. Министерство также подчеркивает, что действия участников будут проверяться и отслеживаться, чтобы предотвратить возможные злоупотребления и действия, которые могут привести к нарушению безопасности или утечкам данных.

Вознаграждения за найденные уязвимости Багхантеры, которые смогут найти уязвимости в системах, будут вознаграждены денежными премиями. Размер вознаграждения зависит от уровня критичности найденной уязвимости. Максимальная премия, которую можно получить за выявление серьезной проблемы в системе, составляет до 1 млн рублей. Этот подход стимулирует специалистов находить и устранять самые сложные и опасные уязвимости, которые могут быть использованы злоумышленниками.

Важно отметить, что размеры вознаграждений варьируются в зависимости от серьезности найденной уязвимости. Например, если обнаруженная уязвимость может привести к утечке личных данных граждан или потенциально повлиять на безопасность важной инфраструктуры, премия может составить значительную сумму.

Роль внешних тестировщиков в обеспечении безопасности Программа нацелена не только на выявление конкретных уязвимостей, но и на создание безопасной среды для их устранения до того, как они могут быть использованы злоумышленниками. Внешние тестировщики проверяют системы на наличие необычных путей обхода защиты и других методов, которые могли бы быть использованы для получения несанкционированного доступа. Это позволяет разработчикам и специалистам по безопасности своевременно устранять угрозы в контролируемом режиме.

Этот этап программы является продолжением первого и второго, которые также показали свою эффективность. За время предыдущих этапов программы более 26 тыс. человек приняли участие в поиске уязвимостей в государственных цифровых сервисах. Они помогли выявить множество уязвимостей, которые могли бы стать причиной серьезных инцидентов с утечками данных или другими последствиями. Благодаря таким усилиям многие уязвимости были устранены до того, как они могли быть использованы злоумышленниками.

Преимущества и значимость программы Запуск третьего этапа программы имеет большое значение для повышения уровня безопасности государственных электронных сервисов, особенно в свете того, насколько важными являются такие системы, как Госуслуги или Единая биометрическая система, для повседневной жизни граждан. Безопасность этих систем является залогом доверия населения к электронному правительству, а также защиты личных данных граждан.

Кроме того, программа помогает развивать сообщество специалистов по информационной безопасности, предоставляя платформу для их участия в реальных проектах, а также предоставляет независимым тестировщикам возможность проявить себя в реальной сфере и получить вознаграждение за их усилия.

С одной стороны, эта программа может быть полезной и для правительства, которое получит ценную информацию о возможных уязвимостях в своей системе и сможет своевременно устранить их. С другой стороны, она помогает создать прозрачную и защищенную цифровую среду для граждан, что важно для доверия к государственным сервисам.

Третий этап программы по поиску уязвимостей в инфраструктуре электронного правительства — это важный шаг на пути к обеспечению безопасности цифровых государственных сервисов. Вовлечение внешних специалистов и предоставление им возможности участвовать в программе без доступа к внутренним данным гарантирует, что процесс будет безопасным и эффективным. С помощью таких программ можно не только предотвратить потенциальные угрозы, но и создать прозрачную и открытую систему обеспечения безопасности государственных услуг.