Безпека застосунку Дія – один із пріоритетів для Мінцифри. Розуміючи швидкість змін у сфері кібербезпеки, вона постійно покращує захист своїх продуктів та державних сервісів. Саме тому запускають другий етап багбаунті (Bug Bounty) застосунку Дія з призовим фондом в 1 млн грн ($ 35 тис.). Програма багбаунті передбачає винагороду за кожну знайдену вразливість у коді. Це допоможе виявити можливі недоліки та усунути їх.
У грудні Мінцифра проводила перший етап багбаунті. У ньому брали участь «етичні хакери» – фахівці з пошуку програмних недоліків – з усього світу. У застосунку не виявили вразливості, які впливали б на безпеку. Другий етап багбаунті проходитиме з новими правилами. Він буде відкритий для всіх охочих і будь-хто зможе взяти участь, незалежно від досвіду та кваліфікації.
Як проходитиме другий етап Bug Bounty застосунка Дія
Другий етап багбаунті триватиме 6 місяців. Пріоритет цього етапу – тестування Дія.Підпису. Не менш важливою буде перевірка створення електронних копій документів та їх шерингу.
Знайдені вразливості будуть проаналізовані командою фахівців Мінцифри, що дозволить їм посилити систему захисту Дії. У разі її підтвердження буде виплачена винагорода. Вона буде ділитися за кількома категоріями складності: за виявлення мінімальної вразливості (P5) — від 200 до 250 доларів, критичної вразливості (P1) — від 4 100 до 4 500 доларів.
Багбаунті проходитиме на платформі Bugcrowd, як і минулого разу. Це одна з найбільших міжнародних компаній, що спеціалізується на кібербезпеці й багбаунті. Зареєструватися можна – за посиланням.
Важливо, що для тестувальників буде створено окреме тестове середовище — копія застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціональність для шерингу документів).
Одна з головних переваг програм багбаунті – хакерам цікаво шукати складні вразливості, адже від цього залежить розмір винагороди. Чим складніша уразливість, тим більша винагорода. Коли систему тестують одночасно багато людей із різним досвідом і методами, це допомагає ефективніше виявити потенційні недоліки.
Реалізація багбаунті відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) «Кібербезпека критично важливої інфраструктури України».