В Казахстане выявили более 1000 уязвимостей безопасности порталов госорганов, банков и компаний

Менее, чем за год работы казахстанской платформы Bug Bounty на ней зарегистрировалось около 600 человек. Эти люди помогли выявить 1 036 уязвимостей в работе порталов госорганов, банков и компаний.

Об этом в ходе форума Kazakhstan Security Systems-2021 в пятницу, 29 октября сообщил глава Центра анализа и расследования кибератак Олжас Сатиев.

Он напомнил, что проект стартовал в конце 2020 года. По его словам, некоторые отчеты показывают 100% надежность системы по внешним признакам, однако на деле в ней могут сохраниться уязвимости. «Белым хакерам» или «исследователям» платят вознаграждение за выявленные уязвимости в программном обеспечении.

«Если исследователь, независимый эксперт информационной безопасности, разработчик, системный администратор нашел какую-то уязвимость, он может легально сдать ее через платформу. По госорганам мы отрабатываем с регулятором, по всем банкам работаем через Нацбанк», — сказал Сатиев.

Он отметил, что ожидал, что в результате работы площадки будет выявлено 10-20 критических уязвимостей.

«Но за 10-11 месяцев мы получили уже 1 036 отчетов и примерно 600 человек было зарегистрировано в этой системе. Например, одна из уязвимостей была выявлена в системе водоснабжения Нур-Султана. Даже школьники закидывали уязвимости образовательной системы», — сказал он.

По словам Олжаса Сатиева, в нескольких банках была уязвимость в службе поддержки. Более 50 уязвимостей было выявлено в работе электронного правительства.

Еще одним примером уязвимости системы стала возможность попадания в сеть 7 млн медицинских документов.

«Наши ребята оперативно устранили эту уязвимость. Но мы не знаем, не воспользовался ли ранее доступом к медицинским документам еще кто-то и не использует ли данные о чьи-то болезнях в корыстных целях, например, для шантажа», — сказал Сатиев.

Ранее Центр анализа и расследования кибератак подготовил рейтинг сайтов банков по уровню защищенности.