Як отримати винагороду за знайдений баг у держсистемі: Кабмін прописав правила

Уряд ухвалив постанову №1580, яка встановлює новий порядок того, як в Україні мають шукати та виявляти потенційні вразливості в інформаційних і комунікаційних системах, де обробляються державні дані, інформація з обмеженим доступом або функціонує критична інформаційна інфраструктура.

Суть проста: вразливість не повинна залишатися непоміченою. Якщо система працює з державними даними — її перевірятимуть, а знайдені проблеми зобов’язані усувати.

Державні ресурси перевірятимуть планово й позапланово, усі знайдені вразливості фіксуватимуться.

Передбачено навіть офіційні програми з винагородами для тих, хто знайде баги (bug bounty) — за умови дотримання правил та нерозголошення.

Документ визначає, хто, як і коли повинен проводити перевірки, як передавати інформацію про знайдені ризики та хто має реагувати на них.

Що тепер вважається «пошуком вразливостей»

Постанова пояснює: пошук або виявлення вразливостей — це не лише технічне сканування. Це широкий організаційно-технічний процес, який включає:

• пасивний або активний пошук слабких місць у системах,
• аналіз знайдених вразливостей,
• оцінку ризиків для кібербезпеки.

Які заходи тепер обов’язкові

Порядок перелічує конкретні кроки, які мають виконувати власники або розпорядники систем:

1. Збирати, аналізувати та поширювати інформацію про вразливості — постійно.
2. Сканувати системи, що розміщують державні ресурси в Інтернеті.
3. Оцінювати стан захищеності, щоб шукати потенційні слабкі місця.
4. Впроваджувати спеціальні програми пошуку вразливостей за винагороду (bug bounty) та використовувати механізми узгодженого розкриття вразливостей.

Хто відповідає за безпеку систем

Документ чітко визначає, що:

• власник або розпорядник системи повинен постійно забезпечувати пошук вразливостей від моменту введення системи в експлуатацію;
• він зобов’язаний своєчасно виявляти недоліки та усувати ризики або зменшувати можливість їх використання;
• він повинен використовувати доступні сервіси та інструменти для виявлення нових загроз.

Усі суб’єкти національної системи реагування також мають регулярно збирати та поширювати інформацію про знайдені вразливості.

Роль CERT-UA та CSIRT-команд

CERT-UA, а також регіональні та галузеві CSIRT-команди:

• поширюють інформацію про потенційні вразливості та рекомендації щодо їх усунення,
• публікують ці дані на своїх офіційних сайтах,
• повідомляють Держспецзв’язок та СБУ про всі знайдені вразливості в системах, де обробляються державні ресурси або державна таємниця.
• СБУ та Держспецзв’язок можуть надавати обов’язкові вимоги про реагування власникам систем.

Як скануватимуть державні системи

Порядок встановлює, що такі перевірки проводить Державний центр кіберзахисту Держспецзв’язку.

Сканування може бути:

• плановим — за затвердженим річним планом;
• позаплановим — на офіційне звернення органів влади або власників критичної інфраструктури.

Результати сканування мають передаватися:

• власнику системи — з описом знайдених вразливостей і рекомендаціями щодо реагування;
• CERT-UA або CSIRT-командам — для подальших дій у рамках національної кібербезпеки.

Оцінка кіберзахищеності

Оцінка стану захищеності проводиться відповідно до закону «Про основні засади забезпечення кібербезпеки України».

Після такої перевірки:

• власник системи отримує інформацію про знайдені вразливості,
• CERT-UA та CSIRT-команди також отримують повідомлення про результати.

Програми винагород за виявлені вразливості (bug bounty)

Документ дозволяє використовувати процедури, передбачені постановою №497 (2023 року), зокрема:

• запуск програм винагороди за знайдені вразливості;
• узгоджене розкриття інформації про них.

Дослідник має право:

• шукати вразливості без дозволу власника системи, якщо не втручається в її роботу;
• повідомляти про знахідку анонімно або під псевдонімом — протягом 24 годин.

Власник системи після отримання повідомлення повинен:

• перевірити інформацію,
• оцінити ризики,
• вирішити, чи вносити зміни до системи,
• повідомити дослідника та CERT-UA про своє рішення протягом 30 робочих днів.

Публічне розкриття інформації можливе тільки за згоди власника системи.

Координація з ЄС

CERT-UA отримує нову функцію — забезпечення взаємодії з Європейською базою вразливостей ENISA та координацію дій щодо узгодженого розкриття вразливостей в Україні.

Які зміни внесено до постанови №497 (2023 року)

Постанова №1580 додає:

• уточнене визначення власника системи;
• нове визначення «експлуатації вразливості»;
• уточнені умови винагородних програм;
• можливість державно-приватної взаємодії;
• чіткіші правила нерозголошення інформації;
• оновлені процедури перевірки звітів і реагування.

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.