Правительство легализировало Bug Bounty в Украине и открыло государственные системы для «белых» хакеров

Кабинет Министров утвердил постановление 1580, которое вводит новую правовую рамку для привлечения этичных хакеров к выявлению уязвимостей в государственных информационных системах и на объектах критической информационной инфраструктуры. Документ впервые системно урегулирует механизмы Bug Bounty и согласованного раскрытия уязвимостей, переводя взаимодействие государства с киберсообществом в законодательное поле, пишут в Государственной службе специальной связи и защиты информации.

Как будет работать новая система

Постановление устанавливает четкие правила для взаимодействия между государством и сообществом специалистов по кибербезопасности. Отныне поиск уязвимостей будет осуществляться по трем основным направлениям:

• CERT-UA, отраслевые CSIRT и владельцы систем на постоянной основе осуществляют сбор и анализ информации об уязвимостях;
• Государственный центр киберзащиты Госспецсвязи (ГЦКЗ) проводит плановое и внеплановое сканирование государственных веб-ресурсов на наличие уязвимостей, а также поиск уязвимостей во время оценки состояния защищенности систем;
• привлечение внешних исследователей к поиску уязвимостей на определенных условиях.

Bug Bounty

Постановление также вносит изменения в Порядок № 497, которые легализуют на постоянной основе программы Bug Bounty (поиск уязвимостей за вознаграждение) и вводят механизм согласованного раскрытия уязвимостей.

Основой для сотрудничества в рамках процедуры Bug Bounty является публичное предложение, в котором владелец системы или организатор программы четко определяет все условия:

• объем тестирования;
• правила уведомления об уязвимости;
• источники выплаты вознаграждения.

Исследователи, участвующие в такой программе, обязаны строго соблюдать определенные условия, в частности — одновременно уведомлять о найденной уязвимости не только владельца системы, но и национальную команду реагирования CERT-UA или соответствующую CSIRT.

Механизм согласованного раскрытия уязвимостей позволяет любому исследователю, даже без участия в программе Bug Bounty, легально и ответственно сообщить о выявленной «дырe» в безопасности.

Порядок предоставляет исследователю право на поиск уязвимостей при условии невмешательства в работу системы и неэксплуатации уязвимости. При этом он устанавливает четкую обязанность: в случае выявления уязвимости исследователь должен незамедлительно, не позже чем через 24 часа, уведомить об этом владельца системы и CERT-UA (или CSIRT).

В этом процессе национальная команда реагирования CERT-UA выступает национальным координатором, который анализирует полученную информацию, распространяет ее через защищенные каналы и координирует дальнейшие действия по устранению угрозы.

Принятие постановления переводит взаимодействие с «белыми хакерами» из «серой зоны» в правовое поле, что соответствует лучшим мировым практикам (в частности, рекомендациям ENISA). Это создает дополнительный эшелон защиты, позволяя выявлять уязвимости до того, как их обнаружат злоумышленники.

Введение роли CERT-UA как национального координатора согласованного раскрытия и взаимодействие с Европейской базой уязвимостей ENISA является важным шагом на пути интеграции Украины в единое европейское киберпространство.

Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.