Новий багбаунті «Дія»: у Мінцифри відповіли на претензії до вразливостей застосунку
Новий багбаунті «Дія»: у Мінцифри відповіли на претензії до вразливостей застосунку
Глава Мінцифри Михайло Федоров та керівник проекту USAID «Кібербезпека критично важливої інфраструктури України» Тімоті Дюбель розповіли деталі про другий Bug Bounty платформи «Дія» з призовим фондом 1 мільйон гривень ($35 тисяч).
«Процес» розібрався, що передбачає новий пошук вразливостей у «Дії», скільки він триватиме, на яких моментах зосередиться, а також що думають експерти з цифрової безпеки та Мінцифри про можливість відкрити акаунт у «Дії» з багатьох пристроїв одночасно.
Дія - найзахищеніший продукт в Україні, навіщо ще один багбаунті?
Віце-прем'єр-міністр, міністр цифрової трансформації України Михайло Федоров наголосив, що портал і застосунок Дія є одним із найбільш захищених продуктів в Україні.«Ми дуже багато зробили, щоб Дія була продуктом одним із найзахищеніших у нашій країні. Ми отримали сертифікат КСЗІ - це свідчить що ми виконали усі умови щоб цей продукт був захиищений, пройшли усі етапи тестів, аудити, На кожному етапі 80% часу ми приділяємо безпеці. При запуску кожного сервісу ми його тестуємо, бета-тестуємо, окремо робимо тестування з точки зору кібербезпеки»Також Мінцифри уже проводило перший багбаунті Дії минулого року. Тоді у роботі платформі не знайшли суттєвих вразливостей.
«Торік не було знайдено ніяких вразливостей. Були якісь маленькі, низького рівня технічні баги, які ми одразу виправили»Проте нове тестування на вразливості потрібно, оскільки застосунок Дія активно розвивається, його аудиторія зростає, впроваджуються нові сервіси, а на тлі коронавірусних обмежень і цифровізації усе більше людей переходять в онлайн. Водночас і зростає роль захисту від кібератак. За словами очільника Мінцифри щодня у світі фіксують більше 2 тисяч офіційно зареєстрованих кібернападів на бізнес, уряди, держорганізації. І це є серйозним викликом для України. Віце-прем'єр-міністр, міністр цифрової трансформації України Михайло Федоров:
«Тому Дія безпечна, але продукт розвивається і нам потрібно на кожному етапі пересвідчитись, що ми усе робимо правильно і що ми робимо усе, аби хакер не міг нічого зробити з нашим продуктом і з вашими персональними даними»
Новий етап багбаунті «Дія»: скільки він триватиме та де можна взяти участь
Віце-прем'єр-міністр, міністр цифрової трансформації України Михайло Федоров: «Досвід багбаунті використовують різні країни, уряди організації: і Facebook, і Google, i Tesla, торік був хакатон-багбаунті Пентагону. Це показує, що це єдиний правильний шлях у 21 столітті для розвитку кіберзахисту - коли ти відкритий максимально і свій продукт розгортаєш на платформі і його можуть протестувати хакери з усього світу… Я вважаю, що багбаунті повинен проходити постійно»- Другий етап багбаунті Дія пройде на платформі BugCrowd
- Він триватиме півроку
- Взяти участь у пошуку вразливостей Дії може будь-який спеціаліст із будь якої країни світу
- Вразливості шукатимуть не у самій Дії, а її копії
- Один із фокусів багбаунті - перевірка сервісів Дія.підпис і шеринг документів.
- Призовий фонд - 1 млн гривень/ 35 тис доларів: за вразливості низького рівня можна отримати 200-250 доларів, за вразливість вищого рівня - 4-4,5 тис доларів.
«Кібербезпека це суттєвий елемент успішної цифрової трансформації. Тому ми з радістю підтримуємо Мінцифри у наступній фазі багбаунті для застосунку Дія, щоб зробити його надзвичайно захищеним, а також залучити спільноту і відкрито публікувати вразливості які було виявлено і виправлено. Цього разу намір полягає у тому щоб залучити ширше коло дослідників-тестерів протягом тривалішого періоду часу. Ми сподіваємось що ця пррограма послужить прикладом для інших держустанов україни які також запускатимуть багбаунті»
Можливість зайти у «Дію» з кількох пристроїв одночасно. Вразливість чи ні?
Очільник Мінцифри Михайло Федоров також прокоментував деякі нюанси роботи «Дії», наприклад можливість одночасних сесій на різних пристроях та збої із входом в аккаунт і необхідність повторної авторизації. Міністр зазначив, що «Дія» час від часу автоматично виконує вихід з вашого акаунту задля безпеки - це стане у нагоді, наприклад якщо у вас вкрали телефон. Тому і виникає періодична необхідність наново авторизувтаись у застосунку. Віце-прем'єр-міністр, міністр цифрової трансформації України Михайло Федоров:«Додаткове підтвердження особи - ще один критерій, який підтримує захист інформації про українців.. На випадки коли людина втратила телефон - ми регулярно повторно просим підтвердити особу - або через BankId або через фото-ідентифікацію - біометрію, коли обличчя перевіряється із фото з реєстрів. Є багато запобіжників щоб захистити додаток і інформацію, яка відображається у додатку Дія про вас»Федоров також підкреслив, що можливість зайти у акаунт Дії з кількох пристроїв одночасно - не вразливість, а корисна функція. Завдяки їй ви можете мати доступ до своїх документів з різних гаджетів
«Одночасні сесії у Дії з кількох гаджетів - це не проблема взагалі. Нагадаю, що Дія не зберігає персональних даних, а лише тільки відображає дані з реєстрів. Це додатковий критерій захищеності».
