Государство укрепляет "Госуслуги"

Министерство цифрового развития, связи и массовых коммуникаций запустило проект по поиску уязвимостей на "Госуслугах" и других ресурсах электронного правительства - багбаунти. Это публичная программа поиска уязвимостей за вознаграждение. Она позволяет привлечь независимых исследователей и сделать систему более безопасной. Программа пройдет в несколько этапов. На первом - независимые исследователи проверят портал "Госуслуг" и Единую систему идентификации и аутентификации. На следующих этапах список ресурсов будет расширен, а условия обновлены. За успешную работу багхантеры могут получить до 1 млн руб. Вознаграждение зависит от степени уязвимости. Низкая - подарки с символикой проекта, средняя - до 50 тыс. руб., высокая - от 50 тыс. до 200 тыс. руб., критическая - до 1 млн руб. и благодарность от команды Минцифры. Программу спонсирует "Ростелеком". В "Ростелекоме" от комментариев воздержались, Минцифры дополнительных комментариев не предоставило.

Тестирование доступно на платформах BI.ZONE и Positive Technologies. "Идея багбаунти и сама инициатива ведомства нацелены на то, чтобы популяризировать кибербезопасность, а также привлечь к этому механизму поиска уязвимостей внимание госсектора и частных компаний. Для багхантеров программа Минцифры - возможность проявить себя в первом государственном проекте багбаунти, который касается целой страны, а не отдельной компании", - прокомментировал Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, директор по стратегии BI.ZONE.

BI.ZONE Bug Bounty связывает организации и независимых исследователей безопасности. На платформе компании размещают программы по поиску уязвимостей, в которых участвуют багхантеры.

Депутат Госдумы от фракции "Единая Россия" Александр Хинштейн в Telegram-канале написал: "Это формат, когда так называемые этичные ("белые") хакеры тестируют системы с гарантированным вознаграждением при нахождении уязвимости. С начала СВО в стране фиксируются беспрецедентные кибератаки на ИТ-инфраструктуру страны. Это и госсайты, и сервисы госуслуг, и компании, составляющие цифровой контур. Слава Богу, ни одного госсервиса злоумышленники не смогли "взломать" или "положить", но нельзя заниматься самоуспокоением. "Госуслуги" стали лакомым кусочком для наших противников и кибервойск других государств. В рамках программы Bug Bounty "белые" хакеры, которые найдут уязвимость на сайте "Госуслуги" (ЕПГУ), получат по 1 млн руб. от "Ростелекома". Здесь также необходимо подумать о законодательном закреплении прав "белых" хакеров. Мы понимаем, что эта работа не совсем легальна, но если она идет в интересах государства, то следует предусмотреть освобождение от ответственности", - считает депутат.

В 2022 г. количество попыток взлома государственных ресурсов выросло на 80% по сравнению с 2021 г. 26 февраля 2022 г. Минцифры сообщило: "Минцифры сталкивается с беспрецедентным масштабом кибератак. 26 февраля зафиксировано более 50 DDoS-атак мощностью более 1 Тбайт, а также ряд профессиональных целевых атак на портал "Госуслуги".

Пользователи "Госуслуг" с 1 марта 2023 г. будут иметь возможность подключить второй фактор авторизации. С июня его подключение станет обязательным для всех, сообщил в пятницу, 10 февраля, журналистам глава Минцифры РФ Максут Шадаев. Он напомнил, что в настоящее время для авторизации нужен только логин и пароль, однако Минцифры совершенствует систему защиты, так как существующей уже недостаточно.

"Мы совершенствуем систему защиты - вводим программу обязательности второго фактора. Мы стартуем 1 марта и поэтапно будем вводить второй фактор как обязательный, - сказал министр. - С 1 июня это будет обязательно для всех пользователей". Максут Шадаев пояснил, что в рамках новой системы защиты это может быть, например, дополнительное SMS-сообщение на номер телефона. Двухфакторная аутентификация позволит улучшить положение, в частности, тех пользователей "Госуслуг", которые используют "простые" пароли.

Директор по продуктам компании "Гарда Технологии" Павел Кузнецов напомнил, что в 2022 г. весь Рунет столкнулся с небывалой по масштабам волной атак. "В том числе радикально возросло количество DDoS-атак, причем изменился их характер. Чрезвычайно велико стало число участвующих в атаках не узлов бот-сетей, а живых, политически мотивированных "хактивистов", снабжающихся инструментами по различным каналам и координирующих атаки. При этом, по оценке специалистов отрасли информационной безопасности, которая совпадает с оценкой экспертно-аналитического подразделения "Гарда Технологии", эта волна могла являться лишь предвестником настоящего "кибершторма", к которому всем нужно готовиться. В таком контексте меры, предпринимаемые государством по защите критической информационной инфраструктуры, отличаются направленностью на достижение практической защищенности, вместо слепого следования нормативно-правовым актам, что не может не вызывать уважения. Очень смелым и рациональным шагом, например, можно считать участие государственных ресурсов в программах bug bounty. Однако, в преддверии упомянутого "кибершторма", не стоит расслабляться и не стоит ограничиваться уже принятыми мерами, а продолжать непрерывную работу по повышению уровня защищенности всей инфраструктуры страны", - считает он.

Технический директор ИТ-компании HFLabs Никита Назаров рассказал, что DDOS-атаки влияют на доступность сервиса, но не приводят к утечке чувствительных данных. "Количество таких атак уже снизилось и, скорее всего, останется на текущем уровне, так как сейчас "Госуслуги" недоступны с зарубежных IP-адресов. А внутри России такие истории, даже если они вдруг случатся, проще пресекать. Количество атак, направленных на поиск уязвимостей и взлом, а также атак, в которых используется перебор паролей или социальная инженерия, будет расти. Это связано с растущей популярностью "Госуслуги" и расширением возможностей, которые предоставляет портал. Например, по управлению личными активами или документами людей. Взлом даже одного аккаунта может быть крайне интересен и выгоден злоумышленникам. Двухфакторная идентификация защищает только от атак с перебором паролей. Несмотря на то что инициатива эта правильная, она может добавить и сложностей. Например, с трудностями могут столкнуться люди, у которых по разным причинам нет доступа к телефонному номеру. Более того, известны случаи, когда злоумышленникам удавалось перевыпустить сим-карты по поддельным документам, - говорит Никита Назаров. - Что касается программы багбаунти, то это распространенная практика, которую используют многие крупные сервисы. Здорово, что Минцифры тоже решило пойти по такому пути. Напомню, что еще несколько лет назад те, кто хотел рассказать какому-либо крупному сервису или компании о киберуязвимости, в лучшем случае получали в ответ "спасибо, мы посмотрим", а в худшем - обвинения в злонамеренности. Достаточно вспомнить историю, когда один из пользователей получил доступ к сети видеонаблюдения РЖД и рассказал об этом. Но мало объявить программу багбаунти - важно еще и соблюдать ее правила и адекватно квалифицировать уровень критичности уязвимостей, которые будут найдены, чтобы пентестеры были мотивированы в ней участвовать, а не продавать информацию об уязвимостях в даркнете".

Консультант по информационной безопасности в компании R-Vision Карэн Багдасарян полагает, что, учитывая сохраняющуюся геополитическую ситуацию в мире и появление все новых типов угроз, нельзя исключить рост атак на объекты критической информационной инфраструктуры в России в этом году. "Если говорить о характере атак, предполагаю, что по сравнению с 2022 г. он изменится незначительно: будут продолжаться попытки реализации целенаправленных атак на конкретные секторы российской экономики и государственные учреждения, при этом одними из наиболее популярных типов атак у злоумышленников по-прежнему остаются фишинговые и вредоносные программы. Однако благодаря государственным инициативам в области ИБ и защитным мерам, которые предпринимают многие организации, вполне вероятно, что в 2023 г. такие атак станут менее эффективным", - говорит Карэн Багдасарян.

Он положительно оценивает меры, предпринимаемые Минцифры. "Наличие второго фактора авторизации является качественным шагом в сторону усиления защитных мер объектов критических инфраструктур России. При этом, помимо государственных мер, самим пользователям портала "Госуслуги" также крайне важно соблюдать ключевые рекомендации по информационной безопасности: оставаться защищенным от неправомерных действий злоумышленников поможет регулярное обновление программного обеспечения - в том числе обновление операционной системы из доверенных источников, - игнорирование подозрительных сайтов, базовые знания о фишинговых атаках и других угрозах. Таким образом, при правильном подходе к обеспечению защиты информации шансы на утечку конфиденциальных сведений можно снизить до минимума", - прокомментировал Карэн Багдасарян.

Менеджер по развитию UserGate (эксперт в сфере информационной безопасности) Иван Чернов отметил, что ландшафт киберпреступности в 2023 г. существенно изменился и мы можем наблюдать, как организованное киберхулиганство, наносящее массированные, но технически простые удары, сменяется менее массовыми, но более сложными целевыми атаками. "Предотвратить первые помогут межсетевые экраны следующего поколения (NGFW UserGate), а в случае со вторыми реальное спасение - экосистемы безопасности, - говорит он. - На этом перечень системных угроз 2023 г. не заканчивается. Напомню о знаковых изменениях в российском законодательстве, которое регулирует вопросы импортозамещения, в том числе в вопросах ИБ, - например, указ №250 президента РФ гласит, что все в стране должны перейти на отечественный софт и аппаратное обеспечение. Это особенно актуально в контексте возросшего количества атак на объекты КИИ, поэтому вопросы миграции с иностранных решений на эффективные отечественные встает перед пользователями все более остро".

"Киберпреступники атаковали, атакуют и будут атаковать. Вымогательство, кража данных, остановка бизнеса или технологических процессов стали скорее обыденностью, приметой времени. Помимо простых методов DDoS-атак, будут добавляться еще и атаки, направленные на эксплуатацию уязвимостей, незащищенных системами обнаружения вторжений, - тем, кто ими еще не озаботился, самое время это сделать. Очевидно, все более распространенными будут фишинговые инструменты. Но самое главное - все то из мира хакеров, о котором мы раньше имели очень отдаленное представление, стало частью нашей жизни, как коронавирусная инфекция. ИБ-специалисты оказались на самом острие динамично меняющегося цифрового мира и играют в нем все более значительную роль, которую теперь сложно переоценить", - подвел итог Иван Чернов.