Министерство цифрового развития, связи и массовых коммуникаций РФ объявило о запуске программы вознаграждений за найденные уязвимости на портале «Госуслуги», а также других ресурсах электронного правительства. Этот проект планируют провести в несколько этапов. Сначала «Госуслуги» и Единую систему идентификации и аутентификации (ЕСИА) будут в течение трёх месяцев проверять независимые исследователи. Затем в ведомстве расширят перечень ресурсов и обновят условия программы. Выплаты участникам будут зависеть от степени найденной уязвимости, общий фонд составит 10 млн рублей. Спонсором Bug Bounty выступает «Ростелеком».
За баги с низким уровнем обещают подарки с символикой проекта, средние уязвимости оцениваются в сумму до 50 тыс. рублей, а высокие — от 50 до 200 тыс. рублей. За обнаружение критических уязвимостей участники программы могут получить до миллиона рублей. Тестирование проходит на платформах BI.ZONE и Positive Technologies.
Для участия в Bug Bounty необходимо зарегистрироваться на выбранной платформе. Как только участник найдёт уязвимость, он должен отправить соответствующую информацию через платформу и дождаться подтверждения от Минцифры. Если все правила соблюдены, организаторы произведут выплату. В Минцифре отметили, что работа на платформе позволит определить логику потенциальных хакеров, эти данные будут использоваться для дополнительной защиты информационных систем.
Bug Bounty по «Госуслугам» была анонсирована ещё в октябре 2022 года, однако тогда подробностей не было. По информации ведомства, в прошлом году по сравнению с предыдущим количество попыток взлома государственных ресурсов выросло на 80%. А по данным Positive Technologies, за 2022 год хакеры совершили более 400 атак на государственные учреждения.
