«Белые хакеры» отдыхают: слабые места в госинформсистемах будут искать по тендеру

Минцифры объявило конкурс на анализ защищенности госинформсистем (ГИС) на сумму свыше 337 млн рублей. Как следует из данных портала госзакупок, работы предполагают независимый анализ защищенности — поиск уязвимостей периметра, проведение тестирования на проникновение, включая мобильные приложения.

Ранее EADaily сообщало о планах ведомства запустить бонусную программу для частных тестировщиков уязвимостей в информационных системах государственных структур. Как писали «Ведомости», ссылаясь на источник в одной из российских компаний, специализирующихся на разработке инструментов кибербезопасности, речь шла о формате работы bug bounty — привлечение сторонних специалистов по безопасности за вознаграждение — так называемых белых хакеров.

Согласно условиям тендера, который объявлен сейчас, на 2022 год на эту работу заложено 148,5 млн рублей, на 2023 год — 188,9 млн рублей. Финансирование предусмотрено из федерального бюджета. Анализ заказан в соответствии с постановлением правительства «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».

Из конкурсной документации следует, что начальная цена за единицу работы, по расчетам министерства, должна составлять чуть более 6,4 млн рублей, а точная стоимость работ по каждой ГИС будет согласована после подачи заявки заказчиком. Таким образом, с учетом максимальной цены контракта речь может идти об анализе защищенности порядка 50 систем. По итогам анализа защищенности каждой из них исполнитель должен составить отчет с описаниями уязвимостей, причин их возникновения, оценками степени критичности и т. д. По результатам работ он также должен разработать рекомендации по устранению уязвимостей для каждой ГИС.

Следует отметить, что «белым хакерам» участие в данном конкурсе не светит: у исполнителя контракта должна быть лицензия ФСБ на проведение работ, связанных с гостайной, а также лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Победитель конкурса будет определен уже 25 августа 2022 года. По итогам Минцифры совместно с ФСБ России и ФСТЭК России разработает и предоставит участникам эксперимента рекомендации по нейтрализации уязвимостей их систем.