Кабмін ухвалив постанову, яка створює правову рамку для проведення Bug Bounty за участю етичних хакерів. Це стосується пошуку вразливостей у державних ІТ-системах, включно з тими, що належать до критичної інфраструктури, обробляють державні інформаційні ресурси й інформацію з обмеженим доступом.
Кабмін ухвалив постанову, яка створює правову рамку для проведення Bug Bounty за участю етичних хакерів. Це стосується пошуку вразливостей у державних ІТ-системах, включно з тими, що належать до критичної інфраструктури, обробляють державні інформаційні ресурси й інформацію з обмеженим доступом.
Постанова встановлює чіткі правила для взаємодії між державою та спільнотою фахівців із кібербезпеки, повідомляє Держспецзв’язку.
Відтепер пошук вразливостей здійснюватиметься за трьома основними напрямами:
Постанова також вносить зміни до Порядку № 497, що легалізують на постійній основі програми Bug Bounty та запроваджують механізм узгодженого розкриття вразливостей.
Основою для співпраці в межах процедури Bug Bounty є публічна пропозиція, у якій власник системи або організатор програми чітко визначає всі умови:
Дослідники, що долучаються до такої програми, зобов’язані суворо дотримуватися певних умов, зокрема про знайдену вразливість одночасно повідомити не лише власника системи, а й національну команду реагування CERT-UA або відповідну CSIRT.
Механізм узгодженого розкриття вразливостей дає змогу будь-якому досліднику, навіть без участі у програмі Bug Bounty, легально та відповідально повідомити про виявлену «дірку» в безпеці.
Порядок надає досліднику право на пошук вразливостей за умови не втручання в роботу системи та не здійснення експлуатації вразливості. Водночас він встановлює чіткий обов’язок: у разі виявлення вразливості дослідник має невідкладно, не пізніше 24 годин, повідомити про неї власника системи та CERT-UA (або CSIRT).
У цьому процесі національна команда реагування CERT-UA виступає національним координатором, який аналізує отриману інформацію, поширює її через захищені канали та координує подальші дії з усунення загрози.
«Ухвалення постанови переводить взаємодію з „білими хакерами“ із „сірої зони“ у правове поле, що відповідає найкращим світовим практикам (зокрема, рекомендаціям ENISA). Це створює додатковий ешелон захисту, дозволяючи виявляти вразливості до того, як їх знайдуть зловмисники», — зазначають у відомстві.
