Кабмін легалізував залучення "етичних хакерів" для виявлення вразливостей держресурсів
Кабінет Міністрів ухвалив постанову, яка створює правову базу для залучення "етичних хакерів" до виявлення вразливостей у системах, що обробляють державні інформаційні ресурси, дані з обмеженим доступом, а також на об’єктах критичної інформаційної інфраструктури.
Документ встановлює чіткі правила співпраці держави та спільноти фахівців з кібербезпеки, повідомляє пресслужба Мінцістерства цифрової політики.
Згідно із повідомленням, відтепер пошук вразливостей здійснюватиметься за трьома основними напрямами:
- CERT-UA, галузеві CSIRT та власники систем постійно збирають і аналізують інформацію про вразливості;
- Державний центр кіберзахисту Держспецзв’язку (ДЦКЗ) проводить планове та позапланове сканування державних веб-ресурсів, а також пошук вразливостей під час оцінки стану захищеності систем;
- залучення зовнішніх дослідників для пошуку вразливостей на визначених умовах.
У Мінцифри зауважили, що постанова також вносить зміни до Порядку №497, легалізуючи програми Bug Bounty (пошук вразливостей за винагороду) на постійній основі та запроваджуючи механізм узгодженого розкриття вразливостей.
Для участі у програмі Bug Bounty власник системи або організатор програми публічно визначає всі умови: обсяг тестування, правила повідомлення про вразливість та порядок виплати винагороди. Дослідники зобов’язані повідомляти про знайдену вразливість одночасно власника системи та національну команду реагування CERT-UA або відповідну CSIRT.
"Механізм узгодженого розкриття вразливостей дозволяє будь-якому досліднику, навіть без участі у програмі Bug Bounty легально та відповідально повідомити про виявлену "дірку" в безпеці. Дослідник має право на пошук вразливостей лише за умови, що не втручається в роботу системи та не експлуатує вразливість. У разі виявлення загрози він зобов’язаний повідомити про неї власника системи та CERT-UA (або CSIRT) не пізніше ніж за 24 години", ‒ зауважили у Мінцифри.
CERT-UA буде національним координатором процесу, аналізує отриману інформацію, поширює її захищеними каналами та координує усунення загрози.
"Ухвалення постанови переводить взаємодію з "білими хакерами" із "сірої зони" у правове поле, що відповідає найкращим світовим практикам (зокрема, рекомендаціям ENISA). Це створює додатковий ешелон захисту, дозволяючи виявляти вразливості до того, як їх знайдуть зловмисники", ‒ пояснили в уряді.
Як повідомлялося, Кабмін затвердив зміни до порядку бронювання військовозобов’язаних, спрямовані на захист кадрового потенціалу підприємств оборонно-промислового комплексу (ОПК), що забезпечують економічну стабільність країни.
Одне з ключових нововведень – можливість бронювати працівників таких підприємств на 45 календарних днів, протягом яких вони мають усунути порушення правил військового обліку.
