"Розраховуємо, що нікому не вдасться отримати гроші": яким буде випробування безпечності "Дії"

"Розраховуємо, що нікому не вдасться отримати гроші": яким буде випробування безпечності "Дії"

Ексклюзивно

В Міністерстві цифрової трансформації планують проведення другого "bug bounty" застосунку "Дія". Етичні "білі" хакери з різних куточків світу знову шукатимуть в додатку слабкості, які можуть спричинити витік особистої інформації українців. Як відбуватиметься друге випробування "Дії" та яким буде призовий фонд – про це в ефірі Українського радіо розповів керівник з розвитку електронних послуг Міністерства цифрової трансформації Мстислав Банік.

Навіщо влаштовувати bug bounty

"Документи, які в нас є — це не тільки паспорт, але й документи на нерухомість, довідки. Це все купа паперів, і клопіт в тому, що в людини вони десь лежать або зношуються. В цьому й переваги цифрових документів: вони зручні, нічого не треба носити з собою, адже є телефон, в якому всі банківські картки. Цифровими документами також дуже безпечно користуватися, адже людина точно знає, кому надає копію", — розповів Мстислав Банік.

За його словами, на сервері "Дії" немає жодних документів, вони тільки відображає документи, які є в інших державних реєстрах.

"Самі реєстри є надзвичайно безпечними й наша задача — безпечно передати їх на смартфон. Захист в "Дії" гарантований кількістю тестувань, яку ми пройшли. Найголовніший індикатор — це хакатон, який ми пройшли в грудні, де фахівці з кібербезпеки найвищого рівня шукають вразливості", – розповів Банік.

Так, під час попереднього bug bounty було знайдено два технічні баги найнижчого рівня, які одразу були виправлені спеціалістами проєкту "Дія".

"Нам цих фахівців відібрала американська компанія. Для нас вони були анонімними, ми просто надали певній кількості людей доступи до копії "Дії", для якої ми згенерували 2 мільйони несправжніх даних людей. І, на щастя для нас, вразливостей, які були б пов'язані з джерелами будь-яких даних з "Дії", не було знайдено", — наголосив Банік.

Про призовий фонд та як він формується

Банік пояснив, що у світі кібербезпеки призовий фонд у "bug bounty" — це певна сума за різні рівні вразливості.

"Зазвичай є шість рівнів, коли перший — це найбільша чутливість цих даних, а шостий — найменша чутливість даних, які можна вкрасти. За кожний рівень фіксується сума винагороди. Й мільйон гривень, який ми обіцяємо — це базовий призовий фонд, який буде розподілятися за призовими рівнями", – пояснив експерт.

Читайте також: Як в Україні зникають паперові документи та що таке режим paperless. Розповідає Федоров

"Проте ми розраховуємо, що взагалі ніхто не може ці гроші отримати, тому що ми подбали про безпеку так само як і в грудні. Єдина відмінність і ключова особливість нового "bug bounty", який ми запускаємо, — це те, що він запускається на пів року і будь-хто може звернутися до нас, попросити копію застосунку "Дія" і ламати її скільки йому заманеться”, — підкреслив Мстислав Банік.

Що відомо

  • Міністерство цифрової трансформації з червня запускає Bug Bounty застосунку "Дія". Конкурс триватиме шість місяців.
  • У грудні 2020 року Мінцифри запустило перший Bug Bounty застосунку "Дія" за підтримки міжнародної платформи Bugcrowd та агентства з міжнародного розвитку США (USAID). Його намагалися зламати 50 етичних хакерів. Тоді жоден з учасників не зміг виявити вразливості, які б впливали на безпеку, та не отримав призовий фонд.

Читайте нас у Telegram: головні новини України та світу

Станьте частиною Суспільного: повідомляйте про важливі події з життя вашого міста чи селища. Надсилайте свої фото, відео та новини і ми опублікуємо їх на діджитал-платформах Суспільного. Пишіть нам на пошту: story@suspilne.media. Користувачі аккаунтів Google можуть заповнити форму тут. Ваші історії важливі для нас!

Категорії
ПолітикаЕкономікаКультураСвітСпортВідеоПодіїТоп дняПриродаРегіониСтильДітиНаукаТехнологіїУрбаністикаЇжаДомашні твариниЛюди