У перший день літа директор ДП «Прозорро» Василь Задворний повідомив, що система вирішила поновити успішну програму пошуку вразливостей добровольцями з числа етичних хакерів. Наразі стало відомо про перші результати заходів, спрямованих на те, аби зробити державні тендери настільки захищеними від зовнішніх втручань, наскільки це взагалі можливо. Детальніше про це — у нашому матеріалі.
Хто взяв участь у програмі Bug Bounty
За перший місяць існування оновленої програми пошуку вразливостей до роботи приєднались семеро «білих» хакерів — спеціалістів з кібербезпеки, зацікавлених у практиці з реальною IT-інфраструктурою державного підприємства. Представники системи Prozoro повідомляють, що шестеро з учасників вже відзначились знайденими дірами у безпеці і отримали заохочувальні призи.
Які вразливості було знайдено у системі «Прозорро»
Отже, у системі публічних закупівель були вразливості, які теоретично могли допомогти зловмисникам отримати доступ до інформації або чинити вплив на роботу сервісу. І це нікого не здивувало, адже не має таких вад лише так система, яка не працює чи не під’єднана до мережі фізично.
Як повідомляють у пресслужбі ДП «Прозорро», серед 53 знайдених багів не було жодного критичного — лише вразливості низького, рідше середнього рівня небезпеки. Тобто, враховуючи обсяги діяльності Prozorro і величезні навантаження — це дуже добрий результат. У майбутньому очікується, що спеціалісти знайдуть ще більше дір у безпеці системи й допоможуть їх залатати.
Для чого оголошують програми Bug Bounty
Оскільки на 100% захищених систем не існує, головна мета спеціалістів — зробити потенційні атаки на ресурс занадто складними і дорогими, тобто непрактичними. Тоді на їхній злам доведеться витратити більше ресурсів і часу, ніж буде отримано користі.
Забезпечення стабільності і захищеності відбувається на цілій низці рівнів. Ще під час створення IT-системи у технічне завдання закладаються вимоги кібербезпеки. Із виникненням нових загроз відбувається адаптація створеної системи до умов, що змінилися. Частиною цього процесу є запрошення сторонніх спеціалістів до участі у програмі Bug Bounty.
Бажаємо системі Prozorro, щоб її хакнули саме «білі капелюхи»! Тоді всі потенційно небезпечні рішення не стануть причиною для проблем у майбутньому. А якщо ви є досвідченим айтівцем — приєднуйтесь до програми! Для вас це може стати дуже корисним досвідом.
