Вікторія Горбік Війна 17 березня 2025, 09:00

На шляху до ешелонованої оборони. Як тестували систему забезпечення війська DOT-Chain

Під час Київського міжнародного форуму кіберстійкості 2025 закупівельна агенція Міноборони «Державний оператор тилу» (ДОТ) разом з українською ІТ-компанією з кібербезпеки Cyber Unit Technologies влаштували Bug Bash IT-системі для управління тиловими потребами ЗСУ DOT-Chain.

SecOps або провідний розробник систем захисту інформації відділу інформаційної безпеки ДОТ Володимир Сукало та експерт із проведення заходів із скоординованого виявлення вразливостей і член правління Інституту дослідження кібервійни Джордж Папарига, а також представники ДОТ розповіли dev.ua про механізми тестування та процес відбору учасників.

Залишити коментар

На шляху до ешелонованої оборони. Як тестували систему забезпечення війська DOT-Chain

Про тестування загалом

У ДОТ розгорнули тестове середовище, тобто копію системи в закритому контурі, для двох модулів DOT-Chain:

FOOD — вже запущеної системи постачання харчових продуктів до підрозділів;
Defence — готового до релізу модуля, за допомогою якого підрозділи ЗСУ зможуть самостійно обирати необхідні дрони РЕБ/РЕР, наземні роботизовані комплекси та станції керування.

Протягом двох днів 11 та 12 березня ДОТ зібрали так званих етичних або «білих» хакерів та дали їм доступ для тестування системи DOT-Chain. Володимир зауважив, що через комендантську годину організатори не мали змоги зробити захід дві доби безперервно, як заведено у світовій практиці. Тому хакери приходили зранку, ввечері їхали додому, і ще з дому мали можливість тестувати систему вночі, потім на другий день повертались на локацію і дотестовували систему.

Хантери мали змогу шукати певні вразливості, які впливають на безпеку системи, вдень, починаючи з ранку і до вечора на окремо виділений для цього локації в Києві, а також вночі з дому.

«Це дуже складна робота. У нас небагато таких спеціалістів в Україні», — підкреслив Володимир Сукало.

Формат тестування DOT-Chain відрізнявся від інших подібних заходів саме тим, що проходив у вигляді хакатону, коли велика кількість етичних хакерів одночасно перевіряла систему на вразливості (vulnerabilities) протягом обмеженого часу. Саме такий підхід дає змогу швидко виявити потенційні загрози та оцінити стійкість цифрової інфраструктури в умовах інтенсивного навантаження.

ДОТ підготували подію разом із компанією Cyber Unit Technologies та за підтримки Національного координаційного центру кібербезпеки (НКЦК) при РНБО України, МЗС України та технічного партнера — Інститут дослідження кібервійни (ICWR).

Хто намагався «зламати» систему

До участі у тестуванні DOT-Chain мали змогу податись всі охочі, повідомив Джордж Папарига. До «білих» хакерів висувались певні вимоги. зокрема:

Учасником може бути особа громадянин України.
Учасник не брав участь у будь-якій частині розробки, адміністрування та/або виконання Системи.
Учасник не є зараз або не був протягом останніх шести місяців працівником та/або надавачем послуг Адміністратору, що були пов’язані з розробкою, адмініструванням, підтримкою тощо Системи.
Учасник не є особою, на яку поширюються санкційні вимоги, введені в Україні або які містяться на сайті sanctions.nazk.gov.ua.
Учасником може бути як фізична особа, так і суб’єкт господарювання — фізична особа — підприємець.

Проводилась ідентифікація осіб і всі учасники обрались через публічне оголошення.

За підсумками відкритого відбору на участь у Bug Bash було:
34 зареєстрованих учасники,
27 учасникам організатори відправили погодження.

20 з відібраних багхантерів взяли участь у Bug Bash та прийшли на тестування.

Про безпеку тестування

Зважаючи на ймовірні ризики Bug Bash, всі хакери проходили валідацію, а їхні заявки перевірялись на предмет безпеки.

Альона Жуж, IT-радниця «Державного оператора тилу» (Фото ДОТ)

«Для українського GovTech-сектору формат Bug Bash є відносно новим. І ми раді, що DOT став однією з перших державних організацій, яка використала його для перевірки власного продукту», — коментує Альона Жужа, радниця з ІТ у DOT.

Крім того, тестове середовище, як відзначив Володимир Сукало, надали хантерам без продуктивних даних і навіть без натяку на них. І саме середовище було вимкнене одразу після проходження Bug Bash.

«Так додаткового доступу ніхто не отримає, бо на продуктивному середовищі у нас і близько не має тестових акаунтів, які ми створили для баг-хантерів», — підкреслив фахівець.

Підсумовуючи результати тестування, Альона Жужа відзначила, що загалом DOT-Chain показав свою стійкість. IT-радниця ДОТ додала, що всю отриману за результатами події інформацію буде використана командою, щоб покращити систему та зробити її ще надійнішою.

Що шукали чи знаходили

Всі вразливості, які знайшли хакери, верифікуються за шкалою, яку визначили кібербезпеківці, та поділять за статусом Low, Medium, High, Critical.

Калькулятор вразливостей, за словами Володимира, враховує безліч нюансів, зокрема:

чи потрібна ітерація користувача,
чи може хантер експлуатувати цю вразливість видалено,
чи потрібні йому додаткові привілеї в системі перед тим, як цю вразливість експлуатувати,
який потенційний імпакт може бути від експлуатації цієї вразливості.

Чого не можна було робити на тестуванні

Технічних обмежень для хантерів, за словами Володимира, як таких не було. Проте хакерам заборонили використовувати комерційні автоматичні сканери. «Тому, що, по-перше, це така річ, яку ми самостійно можемо запустити, а по-друге — цей захід планував як ручне тестування. Зокрема, це той випадок, коли потрібно проявити свої скіли, здібності, досвід, побачити як система працює і спробувати знайти якусь проблему», — пояснює фахівець. Також він додав, що у хантерів були обмеження на тестування на доступність, тобто на DDOS атаки.

Крім того, система DOT-Chain має в собі кілька рівнів захисту, які для тестування вимкнули, щоб баг-хантери могли знайти більше вразливостей.

«Ми хочемо робити схему Defense in depth, тобто ешелоновану оборону, яка могла б відсіювати зловмисників на кожному рівні оборони аж до самого коду», — зазначив SecOps ДОТ.

Навіщо це учасникам

Відповідно від кількості знайдених вразливостей та їхнього статусу хантери набирали певну кількість балів та потрапили у залікову таблицю. Трійка перших отримала фінансову винагороду від партнерів.

Розмір їхніх винагород залежав від кількості та критичності знайдених проблем. За підсумками заходу на головній сцені форуму нагородили трьох кращих учасників:

Alona — 487 000 грн
Whit3_L1ght — 56 000 грн
Nigel — 56 000 грн

Організатори Bug Bash підкреслили, що програми, подібні Bug Bounty, не нові для України — деякі банки та ДП «Прозорро» вже впроваджували або продовжують проводити такі тестування. Крім того, представники ДОТ сподіваються, що подібні змагання стануть регулярною практикою для всіх операторів критичної інфраструктури та державних установ, які керують державними реєстрами.

Про DOT-Chain

У вересні закупівельна агенція Міноборони «Державний оператор тилу» (ДОТ) запустила IT-систему для управління тиловими потребами ЗСУ DOT-Chain. Завдяки системі цикл постачання харчових продукти до підрозділів скоротили в 4 рази. З 2025 року розробники планують розширити функціонал і дати можливість підрозділам ЗСУ самостійно обирати необхідні дрони РЕБ/РЕР, наземні роботизовані комплекси та станції керування через систему DOT-Chain.

Розробка ІТ-системи коштувала $80000, не рахуючи роботи штатних працівників Державного оператора тилу. Наприкінці 2024 року функціонал системи розширили та додали можливість подавати претензії щодо якості продуктів у ЗСУ.

Альона Жужа повідомила під час Kyiv International Cyber Resilience Forum 2025, що реліз онлайн-системи для замовлення безпілотників військовими напряму можна буде чекати у найближчий місяць.