Багбаунти и цифровая гигиена. О «взломе» Дії, кредите и будущем Дія.Підпис — интервью с куратором кибербезопасности в Минцифры
27 июля Минцифры запустила полугодовую программу поиска уязвимостей безопасности (багбаунти) мобильного приложения Дія. В цифровом министерстве уже заявили, что вопрос безопасности Дії — вопрос доверия к государству. Новому этапу тестирования уязвимостей флагманского продукта «государства в смартфоне» предшествовали сразу несколько скандалов и шквал критики от ряда экспертов.
Журналист НВ Бизнес должен был встретиться с первым заместителем министра цифровой трансформации Алексеем Выскубом еще до Diia Summit (прошел 17 мая). Первый зам Михаила Федорова тогда обещал рассказать о безопасности приложения Дія, однако подготовка к саммиту, а впоследствии — ряд других факторов не позволили провести интервью. В то время едва ли не единственным, публично бросало тень на безопасность Дії, была публикация о продаже персональных данных украинцев через телеграм-бот. Тогда пользователи сети предполагали, что источником данных была Дія, хотя власти и ряд экспертов опровергли это предположение (речь шла, вероятно, о компиляции ранее слитых баз).
За три месяца репутации Дії были нанесены новые удары: в медиа появился кейс якобы оформления быстрого кредита через Дію, петицию за отставку Олега Татарова подписал Joe Biden, а телеком-эксперт Роман Химич клонировал приложение Дія на нескольких устройствах.
Эти истории, получившие широкую огласку, ставят под сомнение не только выполнение одного из предвыборных обещаний команды Зеленского-кандидата (создание «государства в смартфоне»), но и одно из требований Зеленского-президента — следующие выборы в электронной форме.
Минцифра оказалась в ситуации, когда нужно доказывать пользователям, что «самый безопасный государственный ІТ-продукт» Дія действительно безопасен. Именно здесь и может пригодиться новая программа багбаунти — поиск недостатков безопасности приложения. Первый этап программы прошел в декабре.
«Если мы все и лучшие этические хакеры даже за деньги не найдут уязвимостей, может, есть смысл доверять Дії еще больше…», — отметила советница Федорова Яника Мерило.
В разговоре с НВ Бизнес куратор направления кибербезопасность в Минцифре Алексей Выскуб тоже не скрывает, что на багбаунти возлагают гораздо больше задач, чем просто поиск уязвимостей. О безопасности или небезопасности Дії, выборах в смартфоне — в интервью НВ Бизнес.
Контекст. Что такое багбаунти. Багбаунти — это тестирование и выявление возможных ошибок и уязвимостей в программном обеспечении специалистами по кибербезопасности. Во время тестирования участников программы вознаграждают за найденные и подтвержденные ошибки (соответственно уровню их опасности). 27 июля стартовал второй этап программы Bug Bounty для приложения Дія — с призовым фондом в миллион гривен.
Два багбаунти и персональные данные в Дії
— Зачем Минцифры проводит второй этап багбаунти Дії?
— Дія — это продукт, который развивается очень динамично. Мы стараемся применять новые подходы к безопасности информации и безопасности государственных информационных ресурсов. Ранее [в государстве] существовал несколько «другой» подход: получаешь бумажку КСЗИ (Аттестат соответствия Комплексной системы защиты информации — НВ Бизнес) — и 5 лет считаешься защищенным. На практике, разумеется, безопасность так не работает. Это постоянный процесс. Поэтому у нас мероприятия, связанные с проверкой, усовершенствованием безопасности, происходят регулярно: мы продолжаем постоянно делать и частные пентесты (тесты на проникновение — НВ Бизнес), использовать ресурсы государства (Госспецсвязи, СБУ) и, разумеется, стараемся использовать весь пакет принятых в мире инструментов.
В декабре мы провели первый этап багбаунти, закрытый. На это мы пошли, чтобы понять для себя, как происходит сам процесс тестирования да и, собственно, многие эксперты рекомендовали нам сделать багбаунти именно закрытым: такая программа тестирования уязвимостей является более экспертной, на нее приходят более подготовленные специалисты.
В мае мы на Diia Summit представили очень много новых продуктов — Дія значительно расширила свой функционал и, в частности, добавился один из базовых сервисов — Дія.Підпис (он, кстати, также прошел уже не один тест на проникновение). Поэтому второй этап тестирования — это, прежде всего, багбаунти обновленного функционала. Эта программа — элемент повышения доверия общества к Дії и, безусловно, элемент проверки реального функционала приложения на безопасность.
Отмечу, что мы услышали запрос общественности на открытую программу тестирования уязвимостей: она открыта и продлится шесть месяцев.
— По результатам первой программы, проходившей в декабре прошлого года (тоже на миллион гривен призовых), в Минцифры заявили, что Дія подтвердила безопасность приложения. Вы согласны с этим утверждением?
— Во время первого багбаунти в Дії действительно было найдено 2 некритические уязвимости, которые никоим образом не влияли на безопасность пользователей. Этим конкретным инструментом на тот момент безопасность Дії была подтверждена.
— Тогда программа длилась всего неделю. Насколько репрезентативным, по вашему мнению, является исследование, в котором 27 исследователей сделали 6 сообщений о найденных уязвимостях?