«Белые хакеры» в IT политике: минцифры запустило новый этап поиска уязвимостей в госсистемах
Министерство цифрового развития РФ запустило третий этап общероссийской программы поиска уязвимостей в государственных цифровых системах. Он продлится до 20 декабря 2026 года. В рамках первых двух этапов было идентифицировано и устранено 37 уязвимостей, а «белым хакерам» выплачено 1,95 млн рублей.
Проверка девяти ключевых госсервисов
В рамках программы специалисты проверят цифровую инфраструктуру девяти ключевых госсервисов, в числе которых единый портал «Госуслуг», единая система идентификации и аутентификации (ЕСИА) и т.д. Особое внимание уделяется биометрической системе. Проверке подлежат только внешние элементы систем без доступа к внутренним данным.
За обнаружение уязвимостей специалисты могут получить до 1 млн рублей, в зависимости от степени критичности выявленной уязвимости. Для желающих принять участие открыта регистрация на платформах BI.ZONE Bug Bounty и Standoff 365 Bug Bounty. В первых этапах поучаствовали больше 26 тыс. человек.
Инициатива является ключевой для повышения киберзащиты госинфраструктуры и способствует защите данных граждан и устойчивости государственных сервисов. Она призвана повысить безопасность личных и государственных данных и снизить риски сбоев в публичных услугах. Если смотреть глобально, то инициатива демонстрирует рост практик bug bounty в госсекторе. РФ подает другим странам пример интеграции этичных хакеров в государственную IT‑политику.
Долгосрочная стратегия Минцифры
Инициатива имеет потенциал для применения технологии bug bounty в рамках цифровой трансформации госструктур других стран и влечет за собой возможность формирования российской платформы/решения для кибербезопасности с экспортным потенциалом.
Программа встроена в долгосрочную стратегию Минцифры, направленную на консолидацию IT‑безопасности. В ведомстве говорят, что подобные инициативы будут расширяться, охватывая все больше государственных информационных систем и сервисов. Планируется масштабирование на уровень регионов и критически важных отраслей – финансы, медицина, энергетика.
Ретроспектива
В феврале 2025 года ГК «Солар» обнаружила критические уязвимости в каждом втором банковском приложении. Самой распространенной стали проблемы с контролем доступа, следом идет XSS-уязвимость, далее – недостаточное шифрование и небезопасная обработка или хранение конфиденциальной информации.
В июле Solar 4RAYS сообщил, что во втором квартале 2025 года число обнаруженных уязвимостей в популярных веб-приложениях выросло на 58% по сравнению с предыдущим кварталом. Больше всего уязвимостей нашли в плагинах для WordPress, а также в роутерах и другом телеком-оборудовании.
В этот же время стало известно, что число DDoS-атак на российские компании в первом полугодии выросло более чем на 60%. Атаки не только учащаются, но и усложняются. Один из трендов – адаптация киберпреступников уже в момент атаки. Главные цели мошенников – финансовая отрасль, IT, телеком и электронная коммерция. По данным Роскомнадзора, порядка 65% вредоносного трафика идет из-за границы, преимущественно из Индонезии, США, Германии и Нидерландов.
Операционные атаки на госсервисы, например, атаки дронов по военным объектам, подчеркивают важность совмещения цифровой и физической защиты. Такие примеры демонстрируют устойчивое увеличение числа IT‑угроз и необходимость системного подхода к киберзащите.
Прогресс к кибербезопасности
Внедрение инициативы ведет к прогрессу в кибербезопасности. Регулярные этапы программы bug bounty подтверждают серьёзную реакцию на угрозы и укрепление ИТ‑защиты. Ожидается масштабирование программы на федеральные и региональные проекты, а также на критические отрасли.
Возможна разработка российской платформы для bug bounty, привлекательной на международном рынке. Во избежание рисков в условиях роста уязвимостей и IT‑угроз государству важно продолжать и развивать инициативу.
