Наша 1- ша ініціатива
Команда HackYourMom пропонує втілити в життя досить важливу, на наш погляд, державну ініціативу, де security.txt є національним стандартом Bug Bounty програм на території всієї України. Зараз ми вам докладніше пояснимо у чому полягає сенс даної ініціативи, але спочатку ознайомимося з основними термінами, в яких потрібно розібратися для кращого розуміння нашої пропозиції.
Security.txt – це пропонований стандарт безпеки веб-сайтів, який призначений для того, щоб приватні дослідники (хакери, сек’юріті інженери) могли легко повідомляти про вразливість безпеки даних сайтів безпосередньо власникам цих ресурсів. На сьогоднішній день файли security.txt були прийняті такими технологічними гігантами як Google, GitHub, LinkedIn та Facebook.
Bug Bounty програма – це процес, в якому компанія залучає сторонніх фахівців з кібербезпеки (хакери, сек’юріті інженери) для тестування свого програмного забезпечення на вразливості за моментальну винагороду. За кожну вразливість (Bug) хакер отримує винагороду (Bounty). Компанія публічно оголошує скоуп (від англ. “Scope” – “обсяг”) робіт, рівень винагороди за вразливість та будь-який бажаючий може зареєструватися та брати участь у Bug Bounty програмі.
Тепер, коли ви ознайомилися з основною термінологією, давайте перейдемо до найголовнішого та детальніше розглянемо нашу державну ініціативу.
Як ми вже говорили вище, ми пропонуємо зробити security.txt національним стандартом Bug Bounty програм на території всієї України. Сенс полягає в тому, що розміщення даного файлу в корені всіх державних сайтів дозволить усім приватним дослідникам (хакери, сек’юріті інженери) надсилати інформацію про вразливість українських державних ресурсів безпосередньо власником цих ресурсів без необхідності реєструватися на додаткових Bug Bounty платформах. Ми вважаємо, що це рішення є найкращим для країни з кількох причин:
1) Дане рішення дозволяє позбутися корупційних ризиків, які можуть виникнути в ході пошуку третіх осіб, приватних компаній або Bug Bounty платформ, які надають послуги у сфері інформаційної безпеки. Лобіювання інтересів подібних компаній часто здійснюється з метою переслідування особистої фінансової вигоди, а самі компанії не завжди надають достатньо якісні послуги для того, щоб виявити критично важливі вразливості у державних сайтах.
2) Розміщення security.txt в корені всіх державних сайтів виключає будь-яке посередництво між замовником (державою) та фахівцем (хакером), тим самим покращуючи якість послуг, оскільки відкрита фінансова винагорода залучатиме велику кількість зацікавлених високоякісних фахівців для вирішення необхідних завдань.
3) Наявність security.txt в корені всіх державних сайтів даватиме можливість фахівцям працювати з усіма державними сайтами одночасно, що прискорює процес усунення критичних уразливостей усіх держ. сайтів країни у десятки разів. Сотні фахівців щодня можуть шукати вразливості на такій же кількості держ. сайтів, у той час як компанії посередники зможуть працювати максимум з кількома сайтами одночасно, витрачаючи на це більше часу та залучаючи більшу кількість грошових ресурсів.
4) Дане рішення є фінансово вигіднішим як для держави, так і для фахівців, які виконують роботу. Без присутності третьої сторони держава матиме можливість пропонувати більшу вигідну фінансову винагороду за знайдену вразливість, а фахівець, виконуючи роботу, не платитиме відсоток посередникам. При цьому незважаючи на те, що кожен фахівець зароблятиме більше, загальна сума витрачених державою коштів у результаті виявиться меншою, ніж при роботі з посередниками.
5) Високий попит, створений державою, стимулюватиме зростання інтересу серед громадян до сфери кібербезпеки, що в свою чергу призведе до зростання високоякісних фахівців в Україні та прискореного розвитку IT індустрії в країні.
6) Ми хочемо дати можливість усім бажаючим долучитися до покращення інформаційної безпеки державних ресурсів України.
Як ви самі можете переконатися, виходячи з вище пересилених доводів, впровадження даної державної ініціативи повністю відповідає інтересам нашої країни і спричинить значні та досить оперативні зміни у сфері державної кібербезпеки, що, безумовно, є досить важливим фактором для якісної роботи державних структур та збереження приватної державної інформації.
