Взаємодія з «білими хакерами» переходить із «сірої зони» у правове поле: Уряд легалізував Bug Bounty для державних систем

Постанова встановлює чіткі правила для взаємодії між державою та спільнотою фахівців з кібербезпеки, повідомляє Держспецзв’язку.

Відтепер пошук вразливостей здійснюватиметься за трьома основними напрямами:

• CERT-UA, галузеві CSIRT та власники систем на постійній основі здійснюють збір та аналіз інформації про вразливості;
• Державний центр кіберзахисту Держспецзв’язку (ДЦКЗ) проводить планове та позапланове сканування державних вебресурсів на наявність вразливостей, а також пошук вразливостей під час проведення оцінки стану захищеності систем;
• залучення зовнішніх дослідників до пошуку вразливостей на визначених умовах.

Постанова також вносить зміни до Порядку № 497, що легалізують на постійній основі програми Bug Bounty та запроваджують механізм узгодженого розкриття вразливостей.

Основою для співпраці в рамках процедури Bug Bounty є публічна пропозиція, в якій власник системи або організатор програми чітко визначає всі умови:

• обсяг тестування;
• правила повідомлення про вразливість;
• джерела виплати винагороди. 

Дослідники, що долучаються до такої програми, зобов’язані суворо дотримуватися певних умов, зокрема про знайдену вразливість одночасно повідомити не лише власника системи, а й національну команду реагування CERT-UA або відповідну CSIRT.

Механізм узгодженого розкриття вразливостей дозволяє будь-якому досліднику, навіть без участі у програмі Bug Bounty легально та відповідально повідомити про виявлену «дірку» в безпеці. 

Порядок надає досліднику право на пошук вразливостей за умови не втручання в роботу системи та не здійснення експлуатації вразливості. Водночас він встановлює чіткий обов’язок: у разі виявлення вразливості дослідник має невідкладно, не пізніше 24 годин, повідомити про неї власника системи та CERT-UA (або CSIRT). 

У цьому процесі національна команда реагування CERT-UA виступає національним координатором, який аналізує отриману інформацію, поширює її через захищені канали та координує подальші дії з усунення загрози.

«Ухвалення постанови переводить взаємодію з „білими хакерами“ із „сірої зони“ у правове поле, що відповідає найкращим світовим практикам (зокрема, рекомендаціям ENISA). Це створює додатковий ешелон захисту, дозволяючи виявляти вразливості до того, як їх знайдуть зловмисники», — зазначають у відомстві.