Prozorro нанимает "белых" хакеров для поиска уязвимостей

Портал Prozorro объявил о старте проекта "Hack Prozorro", цель которого — тестирование уровня защищенности системы. Об этом сообщает пресс-служба компании. Как отметил генеральный директор ГП "ПРОЗОРРО" Василий Задворный, "белый хакинг" из-за своей эффективности является одним из мировых трендов кибербезопасности.

"Google, Facebook, Amazon даже запустили собственные программы сотрудничества с этическими хакерами. В Украине такой опыт имеют только частные компании. Мы являемся первым госучреждением, которое самостоятельно инициировала bug bounty", — рассказал Задворный.

Hack Prozorro пройдет в формате bug bounty марафона — участники будут искать недостатки в защите системы. За каждую найденную валидную и уникальную уязвимость получать вознаграждение. Ее размер будет зависеть от уровня критичности. Участники будут работать в тестовой среде, что никоим образом не затронет производительную систему Prozorro. Закупки будут проходить в обычном режиме. Регистрация хакеров продолжается до 8 сентября. Среди присланных заявок — представители Prozorro, bug bounty платформы HackenProof, компании OptiData и облачного провайдера De Novo отберут 15 этических хакеров. Согласно условиям, участниками проекта могут быть только украинцы с соответствующим опытом в кибербезопасности и баг-хантинге. Непосредственно марафон по поиску уязвимостей пройдет 21 сентября. Призовой фонд благодаря поддержке партнеров составляет $ 7 тысяч. Он будет распределен между лучшими хакерами. "Кибератаки становятся все более изобретательными, поэтому должны действовать на опережение. Bug bounty — эффективная стратегия. Главное преимущество, по сравнению с пентестингом (тест на проникновение), — ориентированность на результат, хакерам интересно искать более сложные уязвимости, ведь от этого зависит размер вознаграждения. По пентестингу же придется заплатить, даже если ничего не найдут. К тому же, когда систему тестируют одновременно много людей с разными тактиками и опытом, это помогает эффективнее выявить потенциальные недостатки", — отметил Василий Задворный. В мире bug bounty все чаще практикуют государственные органы. Пентагон в 2016 году основал собственную bug bounty программу. За это время Министерство обороны США выплатило этическим хакерам $330 тысяч за 300 выявленных уязвимостей. В Сингапуре уже второй год подряд проходит bug bounty программа. В 2019 году за 26 выявленных уязвимостей сингапурское правительство выплатило БагХантер $11 тысяч 750. Проект "Hack Prozorro" реализуется при партнерской поддержке HackenProof, OptiData и De Novo. Как сообщалось ранее, в июле ProZorro запустила первый государственный онлайн-магазин. Prozorro Market является официальным инструментом системы электронных публичных закупок Prozorro, действующим на основании приказа ГП "ПРОЗОРРО" №16 и письма-разъяснения Министерства экономического развития и торговли Украины.