На сьогодні в системі:
Новачки в закупівлях? Дізнайтеся про перші кроки

ПОСТАЧАЛЬНИКУ

52 205
оголошених
тендерів
208 034
активних
постачальників

ЗАМОВНИКУ

25 вересня 201915:10

В Україні вперше відбувся марафон з пошуку багів в державній ІТ-системі

В країні вперше відбувся масштабний марафон з пошуку багів в державній системі. Prozorro запросило “білих” хакерів, аби перевірити систему закупівель на вразливість до кібератак.  

“Ми стали першим держпідприємством, яке самостійно ініціювало співпрацю з “білими” хакерами. Bug bounty (ред. пошук багів за винагороду) навіть у комерційному секторі в Україні практикує дуже мало компаній. Хоча у світі — це тренд. Приміром, Google, Facebook, Microsoft витрачають мільйони доларів на програми для етичних хакерів. Адже ця стратегія дозволяє діяти на випередження — зробити систему стійкою ще до можливих атак”, — підкреслив гендиректор ДП “ПРОЗОРРО” Василь Задворний. 

Україна стала дев’ятою країною у світі, яка публічно провела bug bounty у державному секторі. У світі досвід проведення подібних заходів мають лише Великобританія, Швейцарія, Сінгапур, США, Нідерланди, Росія, Франція та Японія. 

Найбільше з білими хакерами співпрацюють в Америці. Власні bug bounty-програми мають Пентагон, армія США, Повітряні сили США. 

В ЄС доcвід проведення bug bounty в державному секторі лише зароджується.  У Великобританії минулоріч білі хакери перевірили урядові веб-сайті. В Гаазі цього року bug bounty проведе міська рада. В Швейцарії в цьому році білі хакери перевірити національну систему електронного голосування. В Сінгапурі лише другий рік як діє bug bounty програма. 

В Україні вперше білі хакери тестували таку масштабну систему, як Prozorro. Призовий фонд хакерам склав $7 000 грошової винагороди та грант $10 000 на сертифікацію в навчальному центрі Softprom by ERC.Хакерів відбирали на відкритому конкурсі. До участі запрошувалися українці з відповідним досвідом у кібербезпеці та баг-хантингу. Їх відбирала комісія з представників Prozorro, bug bounty платформи HackenProof, компанії OptiData та хмарного провайдера De Novo. 

Марафон з пошуку багів проходив у закритому режимі. Хакери одночасно атакували систему протягом 7 годин. Щоб не завадити проведенню торгів, кіберфахівці працювали у тестовому середовищі. В результаті білі хакери надіслали 16 унікальних звітів. Вони аналізуватимуться на предмет валідності та потенційних вразливостей ІТ-командою. Жодної вразливості у центральній базі даних про закупівлі та модулю аукціонів хакери не виявили. 

Участь у bug bounty марафоні Prozorro взяли 12 хакерів з українським громадянcтвом з областей та за кордону. Наймолодшому учаснику було лише 15 років, але він вже має досвід участі у bug bounty Google, SoundCloud та ще низки компаній.





Блоги

07 лютого 201811:05
Дайджест ProZorro за січень
Детальніше
Дарья Черкашина
Директор з маркетингу та комунікацій ProZorro