Новини
17.05.2023

Уряд затвердив Порядок проведення Bug Bounty в Україні

Україна протидіє РФ, зокрема, у кіберпросторі.

Для цього в березні 2022 року Верховна Рада внесла зміни до Кримінального кодексу України, якими декриміналізувала втручання в роботу інформаційних систем з метою пошуку вразливостей в них. Іншими словами, парламент дозволив роботу «етичних хакерів» для пошуку вразливостей, зокрема, у державних системах.

При цьому, відповідно до аналізу BRDO, був обраний не найкращий механізм декриміналізації з точки зору нормопроєктування. Тим не менш, представниками профільних органів влади було прийнято рішення продовжити реалізацію цього механізму. Для цього потрібно було ухвалити затверджений учора порядок.

Документ визначає процедуру організації, проведення пошуку та виявлення потенційних вразливостей інформаційних систем на підставі публічної пропозиції. Ідеться про будь-які системи, щодо яких власник ухвалить рішення про необхідність розміщення публічної оферти про пошук вразливостей: від інформаційних систем державних реєстрів до, наприклад, інформаційної системи міського водоканалу.

Реалізація документа:

  • дозволить Україні запустити повноцінну систему національних Bug Bounty;
  • надасть власникам інформаційних систем інструмент для підвищення рівня їхнього кіберзахисту, що є критично важливим в умовах війни РФ проти України;
  • залучить приватних дослідників до взаємодії з державою з питань кіберзахисту та захистить таких «етичних хакерів» від притягнення до кримінальної відповідальності;
  • забезпечить підвищення загального рівня національної безпеки нашої держави.

У розробці постанови брали участь експерти Офісу ефективного регулювання BRDO в межах проєкту EU4DigitalUA, що фінансується ЄС.

Що таке Bug Bounty?

Bug Bounty — це угода, яку пропонують сайти, організації та розробники програмного забезпечення, за якою будь-хто може отримати винагороду, якщо виявить помилки в роботі ІКС компанії. Особливо важливими є ті помилки, що стосуються безпеки та вразливостей.

Ці програми дозволяють розробникам виявляти та усувати помилки до того, як про них дізнається широка громадськість, запобігаючи випадкам широкого зловживання та витоку даних. Їх впроваджено брендами Mozilla, Facebook, Google, Reddit, Microsoft тощо.

Поза технологічною галуззю bug bounty також використовується, наприклад, Міністерством оборони США.

А до цього першу в Україні програму bug bounty для ресурсів у домені gov.ua було запущено Офісом ефективного регулювання BRDO ще в 2018 році. Пізніше подібні програми були реалізовані для Prozorro та Дії.