​​️‍♂️ Пошук та виявлення вразливостей у мережах та системах зовнішніми фахівц…

​​????️‍♂️ Пошук та виявлення вразливостей у мережах та системах зовнішніми фахівцями: Держспецзв’язку затвердила необхідні для Bug Bounty документи

Для посилення кіберзахисту в Україні впроваджують використання Bug Bounty – процедуру залучення, зокрема і за винагороду, зовнішніх фахівців для виявлення в електронних системах та мережах потенційних вразливостей і недоліків.

У травні 2023 року Уряд ухвалив Порядок проведення Bug Bounty, у якому визначено механізм взаємодії між власниками систем та дослідниками. У липні Держспецзв’язку розробила та затвердила передбачені Порядком документи:

???? примірну публічну пропозицію про здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж;

???? методичні рекомендації з розроблення публічної пропозиції.

Це інструкції для власників систем та мереж, які ухвалили рішення щодо залучення зовнішніх фахівців для пошуку вразливостей.

Нагадаємо, згідно з Порядком пошук потенційної вразливості системи здійснюється на підставі публічної пропозиції, яку оприлюднює власник системи на своєму офіційному вебсайті. Публічну пропозицію власник системи розробляє відповідно до примірної публічної пропозиції та методичних рекомендацій.

У публічній пропозиції зазначають, зокрема:
▪️ інформацію про систему, пошук потенційної вразливості якої здійснюється;
▪️ дії дослідника щодо системи, які йому заборонено проводити;
▪️ порядок надання дослідником звіту, вимоги до його підготовки, форми;
▪️ розмір, форму, порядок і умови виплати винагороди досліднику;
▪️ період нерозголошення інформації про вразливість системи та інші умови.

ℹ️ Навесні 2022 року до Кримінального кодексу України були внесені зміни, згідно з якими втручання в роботу інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж не вважається несанкціонованим, якщо воно вчинене відповідно до Порядку пошуку та виявлення потенційних вразливостей таких систем чи мереж.