Кабинет министров Украины принял постановление № 1580, которое создает правовую основу для привлечения этичных хакеров к поиску уязвимостей в государственных информационных системах и критической инфраструктуре. Соответствующее заявление опубликовано на сайте Государственной службы специальной связи и защиты информации (Держспецзвязь).
Документ определяет три основных направления работы: постоянный сбор и анализ данных об уязвимостях национальными и отраслевыми командами CERT‑UA, плановое и внеплановое сканирование государственных веб-ресурсов Держспецзвязью, а также привлечение внешних исследователей на определенных условиях.
Постановление легализует программы Bug Bounty (поиск уязвимостей за вознаграждение) и вводит механизм согласованного раскрытия уязвимостей. Программы Bug Bounty будут основываться на публичной оферте, в которой владелец системы четко устанавливает правила тестирования, порядок отчета и условия выплаты вознаграждения. Исследователи, участвующие в таких программах, обязаны одновременно сообщать о найденных уязвимостях как владельцу системы, так и национальной команде CERT-UA.
Механизм согласованного раскрытия позволяет любому исследователю, даже не участвующему в Bug Bounty, легально и ответственно сообщать о найденных "дырах" в безопасности. При этом исследователь получает право на поиск уязвимостей при условии невмешательства в работу системы и отсутствия их эксплуатации, но обязан в течение 24 часов уведомить о находке владельца системы и CERT-UA.
Национальная команда реагирования CERT-UA будет выступать в роли координатора: анализировать полученную информацию, распространять ее по защищенным каналам и координировать устранение угроз.
Свежие комментарии