Уряд легалізував Bug Bounty в Україні та відкрив державні системи для «білих» хакерів

Кабінет Міністрів ухвалив постанову 1580, яка запроваджує нову правову рамку для залучення етичних хакерів до виявлення вразливостей у державних інформаційних системах та на об’єктах критичної інформаційної інфраструктури. Документ вперше системно врегульовує механізми Bug Bounty та узгодженого розкриття вразливостей, переводячи взаємодію держави з кіберспільнотою у законодавче поле, пишуть у Державній службі спеціального зв'язку та захисту інформації.

Як працюватиме нова система

Постанова встановлює чіткі правила для взаємодії між державою та спільнотою фахівців з кібербезпеки. Відтепер пошук вразливостей здійснюватиметься за трьома основними напрямами:

• CERT-UA, галузеві CSIRT та власники систем на постійній основі здійснюють збір та аналіз інформації про вразливості;
• Державний центр кіберзахисту Держспецзв'язку (ДЦКЗ) проводить планове та позапланове сканування державних вебресурсів на наявність вразливостей, а також пошук вразливостей під час проведення оцінки стану захищеності систем;
• залучення зовнішніх дослідників до пошуку вразливостей на визначених умовах.

Bug Bounty

Постанова також вносить зміни до Порядку № 497, що легалізують на постійній основі програми Bug Bounty (пошук вразливостей за винагороду) та запроваджують механізм узгодженого розкриття вразливостей.

Основою для співпраці в рамках процедури Bug Bounty є публічна пропозиція, в якій власник системи або організатор програми чітко визначає всі умови:

• обсяг тестування;
• правила повідомлення про вразливість;
• джерела виплати винагороди. 

Дослідники, що долучаються до такої програми, зобов’язані суворо дотримуватися певних умов, зокрема про знайдену вразливість одночасно повідомити не лише власника системи, а й національну команду реагування CERT-UA або відповідну CSIRT.

Механізм узгодженого розкриття вразливостей дозволяє будь-якому досліднику, навіть без участі у програмі Bug Bounty легально та відповідально повідомити про виявлену «дірку» в безпеці. 

Порядок надає досліднику право на пошук вразливостей за умови не втручання в роботу системи та не здійснення експлуатації вразливості. Водночас він встановлює чіткий обов’язок: у разі виявлення вразливості дослідник має невідкладно, не пізніше 24 годин, повідомити про неї власника системи та CERT-UA (або CSIRT). 

У цьому процесі національна команда реагування CERT-UA виступає національним координатором, який аналізує отриману інформацію, поширює її через захищені канали та координує подальші дії з усунення загрози.

Ухвалення постанови переводить взаємодію з «білими хакерами» із «сірої зони» у правове поле, що відповідає найкращим світовим практикам (зокрема, рекомендаціям ENISA). Це створює додатковий ешелон захисту, дозволяючи виявляти вразливості до того, як їх знайдуть зловмисники. 

Запровадження ролі CERT-UA як національного координатора узгодженого розкриття та взаємодія з Європейською базою вразливостей ENISA є важливим кроком на шляху до інтеграції України в єдиний європейський кіберпростір.

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.