Как получить вознаграждение за найденный баг в гос­системе: Кабмин прописал правила

Уряд утвердил постановление №1580, которое устанавливает новый порядок того, как в Украине должны искать и выявлять потенциальные уязвимости в информационных и коммуникационных системах, где обрабатываются государственные данные, информация с ограниченным доступом или функционирует критическая информационная инфраструктура.

Суть проста: уязвимость не должна оставаться незамеченной. Если система работает с государственными данными — ее будут проверять, а найденные проблемы обязаны устранять.

Государственные ресурсы будут проверять планово и внепланово, все найденные уязвимости фиксироваться.

Предусмотрены даже официальные программы с вознаграждениями для тех, кто найдет баги (bug bounty) — при соблюдении правил и нерозглашения.

Документ определяет, кто, как и когда должен проводить проверки, как передавать информацию о найденных рисках и кто должен реагировать на них.

Что теперь считается «поиском уязвимостей»

Постановление поясняет: поиск или выявление уязвимостей — это не только техническое сканирование. Это широкий организационно-технический процесс, который включает:

• пассивный или активный поиск слабых мест в системах,
• анализ найденных уязвимостей,
• оценку рисков для кибербезопасности.

Какие меры теперь обязательны

Порядок перечисляет конкретные шаги, которые должны выполнять владельцы или распорядители систем:

1. Собирать, анализировать и распространять информацию об уязвимостях — постоянно.
2. Сканировать системы, размещающие государственные ресурсы в Интернете.
3. Оценивать состояние защищенности, чтобы искать потенциальные слабые места.
4. Внедрять специальные программы поиска уязвимостей за вознаграждение (bug bounty) и использовать механизмы согласованного раскрытия уязвимостей.

Кто отвечает за безопасность систем

Документ четко определяет, что:

• владелец или распорядитель системы должен постоянно обеспечивать поиск уязвимостей с момента ввода системы в эксплуатацию;
• он обязан своевременно выявлять недостатки и устранять риски или уменьшать возможность их использования;
• он должен использовать доступные сервисы и инструменты для выявления новых угроз.

Все субъекты национальной системы реагирования также должны регулярно собирать и распространять информацию о найденных уязвимостях.

Роль CERT-UA и CSIRT-команд

CERT-UA, а также региональные и отраслевые CSIRT-команды:

• распространяют информацию о потенциальных уязвимостях и рекомендации по их устранению,
• публикуют эти данные на своих официальных сайтах,
• сообщают Госспецсвязи и СБУ обо всех найденных уязвимостях в системах, где обрабатываются государственные ресурсы или государственная тайна.
• СБУ и Госспецсвязь могут предоставлять обязательные требования по реагированию владельцам систем.

Как будут сканировать государственные системы

Порядок устанавливает, что такие проверки проводит Государственный центр киберзащиты Госспецсвязи.

Сканирование может быть:

• плановым — по утвержденному годовому плану;
• внеплановым — по официальному обращению органов власти или владельцев критической инфраструктуры.

Результаты сканирования должны передаваться:

• владельцу системы — с описанием найденных уязвимостей и рекомендациями по реагированию;
• CERT-UA или CSIRT-командам — для дальнейших действий в рамках национальной кибербезопасности.

Оценка киберзащищенности

Оценка состояния защищенности проводится в соответствии с законом «Об основных принципах обеспечения кибербезопасности Украины».

После такой проверки:

• владелец системы получает информацию о найденных уязвимостях,
• CERT-UA и CSIRT-команды также получают уведомление о результатах.

Программы вознаграждений за выявленные уязвимости (bug bounty)

Документ позволяет использовать процедуры, предусмотренные постановлением №497 (2023 года), в частности:

• запуск программ вознаграждения за найденные уязвимости;
• согласованное раскрытие информации о них.

Исследователь имеет право:

• искать уязвимости без разрешения владельца системы, если не вмешивается в ее работу;
• сообщать о находке анонимно или под псевдонимом — в течение 24 часов.

Владелец системы после получения сообщения должен:

• проверить информацию,
• оценить риски,
• решить, вносить ли изменения в систему,
• сообщить исследователю и CERT-UA о своем решении в течение 30 рабочих дней.

Публичное раскрытие информации возможно только с согласия владельца системы.

Координация с ЕС

CERT-UA получает новую функцию — обеспечение взаимодействия с Европейской базой уязвимостей ENISA и координацию действий по согласованному раскрытию уязвимостей в Украине.

Какие изменения внесены в постановление №497 (2023 года)

Постановление №1580 добавляет:

• уточненное определение владельца системы;
• новое определение «эксплуатации уязвимости»;
• уточненные условия вознаградительных программ;
• возможность государственно-частного взаимодействия;
• более четкие правила нерозглашения информации;
• обновленные процедуры проверки отчетов и реагирования.

Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.