Андрей Сытник, Комитет цифрового развития Ленинградской области: Участие регионов в программе багбаунти может стать трендом, поскольку демонстрирует готовность принимать активное участие в защите цифровой инфраструктуры

Андрей Сытник, председатель Комитета цифрового развития Ленинградской области, рассказал порталу Cyber Media о причинах и предпосылках выхода российских регионов на программы багбаунти, а также о первых успехах.

Cyber Media: Ленинградская область – это первый регион, который вышел на программу багбаунти. Однако, уже сейчас к вам присоединился и ряд других субъектов России. На Ваш взгляд, станет ли это трендом и как дальше будут развиваться регионы в контексте информационной безопасности?

Андрей Сытник: Исследование информационных ресурсов энтузиастами позволило выявить уникальные для конкретной инфраструктуры уязвимости и оперативно принять контрмеры, тем самым повысив ее защитный потенциал. Радует, что все больше коллег из других регионов оценили преимущества программы и стали активнее к ней подключаться.

На наш взгляд, участие регионов в программе багбаунти может стать трендом, поскольку демонстрирует готовность принимать активное участие в защите цифровой инфраструктуры. И багбаунти может развиваться и в будущем с учетом новых тенденций и технологий.

Cyber Media: Благодаря каким факторам стал возможен выход регионов на программы багбаунти?

Андрей Сытник: С каждым годом киберугрозы становятся все более сложными и опасными. Киберпреступники и хакеры постоянно ищут новые способы проникновения в системы и получения доступа к конфиденциальной информации. В связи с этим внимание к вопросам безопасности увеличилось как со стороны крупных компаний и органов власти, так и со стороны регуляторов, которые сформировали законодательную базу в области информационной безопасности.

Мы также вдохновились примером нашего профильного федерального ведомства – Минцифры России, которое год назад запустило проект по поиску уязвимостей на Госуслугах.

К тому же Департамент обеспечения кибербезопасности Минцифры России включил участие в программе публичного тестирования в рейтинг региональных руководителей цифровой трансформации (РРЦТ), за это начисляются дополнительные баллы. Для нас это очень хороший стимул.

Cyber Media: Есть ли значимые отличия между запуском багбаунти-программы региона и крупной компании?

Андрей Сытник: С точки зрения задач для тестировщиков, не отличается. Но в отличии от коммерческих организаций, которые распоряжаются финансами по своему усмотрению, органы власти Субъекта Федерации расходуют деньги постатейно, на строго регламентированные мероприятия. И статьи для выплаты вознаграждений, например, бюджетным кодексом не предусмотрено. Поэтому эта часть расходов ложится на исполнителей. Тем не менее, со стороны бизнеса есть явный интерес к проведению таких кампаний государственными органами.

Cyber Media: Как Вы оцениваете первый опыт взаимодействия Ленинградской области с багхантерами?

Андрей Сытник: Ленинградская область запустила программу по поиску уязвимостей 1 декабря 2023 года. Мы предложили независимым исследователям кибербезопасности оценить текущий уровень безопасности государственных информационных систем региона, таких как «Управление бюджетным процессом Ленинградской области», «Современное образование Ленинградской области», «Портал государственных и муниципальных услуг Ленинградской области». Проводился анализ, ранжирование уязвимостей в соответствии с утвержденной методикой.

Опыт взаимодействия с багхантерами был, безусловно, полезным. Ведь, как уже отмечалось, багбаунти – это не сканирование по списку известных уязвимостей (который, кстати, благодаря нашим регуляторам в сфере защиты информации, пополняется в режиме 24х7), – с такой задачей справляются современные сканеры уязвимостей.

Программа багбаунти – это скрупулезное исследование людьми, компетенции которых внушительные.

Всего нам поступили 37 отчетов об обнаруженных уязвимостях, большинство из которых – со средним и низким уровнем критичности.

Эти отчеты являются ценным дополнением к информации, предоставляемой регуляторами, так как позволили принять меры по предотвращению реализации угроз, в т.ч. связанных с эксплуатацией уязвимостей, о которых еще не было известно.

Cyber Media: Многие специалисты отмечают, что багбаунти положительно сказывается на процессах работы организации со своими уязвимостями, их приоритезацией и скоростью «закрытия». Исходя из Вашего опыта, насколько это справедливо?

Андрей Сытник: По нашему опыту, багбаунти может как ускорить, так и замедлить процесс обнаружения уязвимостей, в зависимости от того, как он реализован и какие стимулы предоставляет.

Если программа вознаграждения предлагает существенные призы за обнаружение серьезных уязвимостей, это может стимулировать участников активнее искать и сообщать об уязвимостях, ускоряя таким образом процесс обнаружения.

Однако багбаунти также может привести и к появлению большого количества ложных срабатываний или некачественных отчетов об уязвимостях из-за желания участников получить вознаграждение, даже если их отчеты не являются точными или полными. Это может замедлить процесс обнаружения, поскольку специалистам по безопасности потребуется больше времени на проверку и оценку каждого отчета.

В целом, влияние багбаунти на скорость обнаружения уязвимостей может зависеть от множества факторов, включая качество программы вознаграждения, уровень подготовки участников и общую эффективность процесса обнаружения уязвимостей.

Максимум пользы от участия в программе может обеспечить тщательная работа над техническим заданием с обязательным привлечением экспертного сообщества.