В Казахстане будут платить «белым хакерам» за выявленные в Egov уязвимости

Проектом приказа министра цифрового развития, инноваций и аэрокосмической деятельности утвердят правила функционирования программы взаимодействия с исследователями информационной безопасности, более известными как «белые хакеры».

«Проект приказа направлен на регулирование деятельности «белых хакеров» (исследователи информационной безопасности) и программы взаимодействия с исследователями информационной безопасности, известной в мировом сообществе как «BugBounty». Проект приказа, после принятия, позволит определить механизмы взаимодействия белых хакеров и программы, а также требования к нахождению уязвимостей в объектах информатизации «электронного правительства», — говорится в обосновании к выложенному для публичного обсуждения документу.

Согласно правил, «белые хакеры» будут регистрироваться в системе для выявления уязвимостей, использование которых может привести к нарушению целостности, (или) конфиденциальности и (или) доступности объекта информатизации. Каждый вход должен делаться с помощью выдаваемого им токена. При этом атаки на Egov без токена будут считаться несанкционированными.

Перечень объектов информатизации «электронного правительства», подлежащих к участию в программе взаимодействия с «белыми хакерами», и сроки поиска уязвимостей будет определяться Комитетом национальной безопасности по согласованию с уполномоченным органом в сфере обеспечения информбезопасности. Белые хакеры не должны раскрывать сведения о выявленной уязвимости до момента ее устранения. Раскрытие сведений об уязвимости может осуществляться только с согласия собственника объекта, в котором обнаружена уязвимость.

Хакеры должны будут сдавать отдельный отчет по каждой уязвимости, содержащий информацию о наименовании объекта информатизации «электронного правительства», типе уязвимости, уровне критичности, описания уязвимости с приложением документов, подтверждающих наличие уязвимости в объекте информатизации «электронного правительства» и, при наличии, рекомендаций по ее устранению.

При этом размер получаемого ими от государства вознаграждения будет зависеть от уровня критичности выявленной уязвимости, однако диапазон вознаграждения в документе не раскрывается. Отмечается лишь, что уровни критичности и размер вознаграждения будут опубликованы позднее оператором программы. Вознаграждение хакеру выплачивает КНБ по истечении срока поиска уязвимостей в объекте информатизации «электронного правительства» на основе персональных данных исследователя (фамилия, имя, отчество (при наличии) и банковские реквизиты).

Оператор в течение 15 рабочих дней со дня получения отчета проверит его на достоверность и подготовит заключение о наличии или отсутствии уязвимости в объекте информатизации «электронного правительства». В случае, если уязвимость была выявлена в нарушение правил или была обнаружена ранее «Государственной технической службой» или другим белым хакером, то отчет будет рассмотрен без выплаты вознаграждения.

Собственник или владелец объекта информатизации «электронного правительства» должен устранить выявленную уязвимость в течение 15 рабочих дней со дня получения уведомления о ней. После этого оператор в течение пяти рабочих дней проверяет объект информатизации «электронного правительства» на устранение уязвимости.

Приказ вводится в действие по истечении 60 дней со дня его первого официального опубликования. Публичное обсуждение документа продлится до 18 января.

О необходимости сотрудничества с «белыми хакерами» в ведомстве объявляли еще несколько лет назад. В декабре 2021 года вице-министр цифрового развития, инноваций и аэрокосмической промышленности Асхат Оразбек сообщил, что в Казахстане работают над созданием государственной площадки для белых хакеров.

«Интересный кейс, когда белый хакер обнаруживает ошибки и уязвимые места в вашем программном коде или вашей системе, и вы платите деньги им за эту информацию. Такая площадка у нас уже есть, это коммерческая площадка. Мы работаем над тем, чтобы создать государственную площадку, чтобы госинформсистемы тоже могли подвергаться белому хакингу, и реагировать до того, как возникнет проблема серьезная. Коммерческие компании выплатили порядка 50 млн тенге таким хакерам», – сказал он.

По его словам, на тот момент было зарегистрировано 600 белых хакеров, от которых за год было получено 1 306 отчетов об уязвимости.

Президент Касым-Жомарт Токаев подписал в декабре прошлого года закон, регулирующий институт белых хакеров, которых будут привлекать к выявлению уязвимостей информационных систем.