Кабмин легализовал привлечение “этических хакеров” для выявления уязвимостей госресурсов

Кабинет Министров принял постановление, создающее правовую базу для привлечения “этических хакеров” к выявлению уязвимостей в системах, обрабатывающих государственные информационные ресурсы, данные с ограниченным доступом, а также на объектах критической информационной инфраструктуры. Документ устанавливает четкие правила сотрудничества государства и сообщества специалистов по кибербезопасности, сообщает пресс-служба Минцистерства цифровой политики.

Согласно сообщению, теперь поиск уязвимостей будет осуществляться по трем основным направлениям: 

• CERT-UA, отраслевые CSIRT и владельцы систем постоянно собирают и анализируют информацию об уязвимости; 
• Государственный центр киберзащиты Госспецсвязи проводит плановое и внеплановое сканирование государственных веб-ресурсов, а также поиск уязвимостей при оценке состояния защищенности систем; 
• привлечение внешних исследователей для поиска уязвимостей на определенных условиях.

В Минцифре отметили, что постановление также вносит изменения в Порядок №497, легализуя программы Bug Bounty (поиск уязвимостей за вознаграждение) на постоянной основе и внедряя механизм согласованного раскрытия уязвимостей.

Для участия в программе Bug Bounty владелец системы или организатор программы публично определяет все условия: объем тестирования, правила сообщения об уязвимости и порядок выплаты вознаграждения. Исследователи обязаны сообщать о найденной уязвимости одновременно владельца системы и национальной команде реагирования CERT-UA или соответствующей CSIRT.

“Механизм согласованного раскрытия уязвимостей позволяет любому исследователю, даже без участия в программе Bug Bounty легально и ответственно сообщить об обнаруженной “дыре” в безопасности. Исследователь имеет право на поиск уязвимостей только при условии, что не вмешивается в работу системы и не эксплуатирует уязвимость. (или CSIRT) не позднее чем через 24 часа”, — отметили в Минцифре.

CERT-UA будет являться национальным координатором процесса, анализирует полученную информацию, распространяет ее защищенными каналами и координирует устранение угрозы.

“Принятие постановления переводит взаимодействие с “белыми хакерами” из “серой зоны” в правовое поле, соответствующее лучшим мировым практикам (в частности, рекомендациям ENISA). Это создает дополнительный эшелон защиты, позволяя проявлять уязвимости к тому, как их найдут злоумышленники”.

Как сообщалось, Кабмин утвердил изменения в порядок бронирования военнообязанных, направленных на защиту кадрового потенциала предприятий оборонно-промышленного комплекса (ОПК), обеспечивающих экономическую стабильность страны.

Одно из ключевых новшеств — возможность бронировать работников таких предприятий на 45 календарных дней, в течение которых они должны устранить нарушение правил военного учета.