Определен подрядчик по защите портала госуслуг Подмосковья. Его первый шаг – поиск «дыр»

2023

Определен подрядчик по защите портала госуслуг Подмосковья. Его первый шаг – поиск «дыр»

В декабре 2023 года был завершен конкурс по организации защиты портала госуслуг Московской области – победителем стала компания Compliance Soft, которая занимается ИБ-интеграцией с 2015 года. Она приступила к исполнению требований конкурсной документации, где, в частности, есть требование проведения открытого конкурса по поиску уязвимостей, который по описанию похож на bug bounty.

В рамках реализации требований конкурса^[1] на платформе Standoff 365 исполнителем была открыта краткосрочная программа тестирования портала Московской области, которая будет действовать до 29 декабря. Максимальное вознаграждение за обнаружение критической уязвимости составит 150 тыс. руб. В программе могут принимать участие граждане России старше 18 лет, которые зарегистрированы на платформе Standoff 365 – на текущий момент в проекте зарегистрировано 8 тыс. исследователей безопасности.

Основные параметры программы bug bounty для портала госуслуг Подмосковья

Следует отметить, что программа коммерческого поиска уязвимостей (bug bounty) достаточно эффективна для постоянной проверки защищенности ресурсов. Однако если какой-то веб-портал сразу открыть для всеобщего тестирования, то суммы по выплате за уязвимости могут быть достаточно большими. Поэтому обычно перед программой bug bounty стоит, как минимум, завершить внедрение DevSecOps, провести пентесты, сформировать Red Team, которые будут тестировать информационные ресурсы компании с помощью наиболее современных технологий. Когда эти процедуры сделаны, можно уже запускать и открытое тестирование на уязвимости. Однако в компании Positive Technologies, куда входит и платформа Standoff 365, считают по-другому.

Я считаю, что можно выходить на bug bounty даже с низким уровнем подготовленности, – заявила Юлия Воронова, директор по консалтингу центра компетенции Positive Technologies. – Нужно только правильно сформулировать то, за что мы платим. Если мы понимаем свои недопустимые события и осознаем, что для нас действительно критично, то мы платим не за любой «пробив», не за любую уязвимость, а за знания о цепочке, которая приведет к реализации конкретного недопустимого события. В этом случае мы минимизируем расход на незначительные и не критичные для бизнеса уязвимости. Но говорить, что я пока не готов к тому, чтобы мне рассказали о том, как моя компания может умереть, в принципе, будет не очень корректно. Такие знания нужно получать как можно раньше.

Собственно, именно поэтому в программе поиска уязвимостей на портале Подмосковья жесткое ограничение по времени – до 29 декабря, то есть чуть больше двух недель, и цены даже за критические уязвимости достаточно низкие – 150 тыс. руб. Для сравнения, в программе тестирования сервисов Mail.ru критическая уязвимость оценивается в 3,6 млн руб. Однако даже при такой ограниченной программе тестирования на уязвимости может быть обнаружено достаточно много критических уязвимостей, и стоимость выплат может быть большой. Так в аналогичной программе тестирования Ленинградской области^[2], которая сейчас проходит на платформе BI.Zone Bug Bounty, уже обнаружено три критические уязвимости и выплачено 765 тыс. руб. Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 3.3 т

Портал госуслуг Московской области был запущен в 2012 году, и сейчас он предоставляет доступ к более 300 электронным услугам. Его посещают около 4 млн человек в месяц, причем более 77% из них подтвердили свои учетные данные. Понятно, что защита такого количества персональной и чувствительной информации очень важна для региона, и для государства в целом, поскольку портал Подмосковья является модельным для Центров управления регионом (ЦУР), которые сейчас установлены во множестве других краев и областей России.

Московская область внедряет прогрессивные ИБ-практики: DevSecOps, киберучения и bug bounty

Центр информационной безопасности Московской области в середине ноября объявил тендер на внедрение технологии безопасной разработки DevSecOps для своей государственной информационной системы «Портал государственных и муниципальных услуг (функций) Московской области»^[3]. Проект также предполагает оказание услуг по организации киберучений, проведение программы по поиску уязвимостей и оценке уровня защищенности информационных ресурсов Московской области. Неотъемлемой его частью является и продление на год лицензии на систему «Вебмониторэкс 850М», которая обеспечивает контроль API и защищает от атак с его использованием.

На решение всех пяти задач предполагается потратить около 50 млн рублей. Подача заявок на конкурс завершается 28 ноября.

Согласно технической документации тендера, в Московской области уже построен конвейер CI/CD, что характерно для методологии DevOps. А если в него, как требуется в техзадании, встроить еще и методы статического и динамического анализа кода, инструменты контроля зависимостей и управления уязвимостями, компоненты для анализа контейнеров, мобильных приложений и встроенных данных аутентификации, а затем обучить не более 30 сотрудников всеми этими инструментами пользоваться, то получиться полноценный DevSecOps, хотя конкретно этого термина в техзадании нет. Впрочем, ссылка на ГОСТ Р 56939-2016 по безопасной разработке в нем также отсутствует.

Правительственный комплекс Московской области (фото Mixyfotos)

Не менее интересный раздел относиться к программе киберучений, целью которых является повышение готовности специалистов к предупреждению, реагированию и ликвидации последствий компьютерных атак на информационные ресурсы. В планах совместно с исполнителем разработать не менее десятка сценариев проверки всех необходимых компонент защиты. При их планировании и проведении требуется следовать методикам PTES и NIST SP800-115, которые относятся к тестам на проникновение (пентестам). Их реализация предполагается в течении 60 дней. Фактически, это пентест для проверки работы средств защиты веб-ресурсов заказчика, его серверов и рабочих станций, а также сетевой инфраструктуры.

Программа по поиску уязвимостей предполагает публикацию через платформу исполнителя правил поиска уязвимостей в указанных заказчиком системах, причем как в приватном, так и в открытом режимах, а также оплату за их обнаружение. Исполнитель также может рекомендовать исправление уязвимостей с последующей проверкой их закрытия. Это формат коммерческого поиска уязвимостей, который принято называть bug bounty.

В целом внедрение DevSecOps с последующим проведением пентеста, а далее bug bounty является основным путем работы с уязвимостями в публичных веб-приложениях, который обеспечивает ресурсу и оценку защищенности, и построение системы защиты, которая сможет максимально оперативно устранять обнаруженные уязвимости, как появившиеся недавно, так и присутствующие в системе достаточно давно.

Эта методика была протестирована на банках, маркетплейсах и в электронной коммерции, а сейчас уже начала внедряться и на государственных ресурсах. Правда, внедрение методики DevSecOps, которая является основой подобной практики, не всем доступна.

Распространение DevSecOps зависит от исполнителя проекта: сами специалисты редкие и недешевые, - пояснил для TAdviser небольшое распространение в госпроектах практики безопасной веб-разработки Вячеслав Касимов, директор департамента информационной безопасности МКБ. - Кроме того, далеко не все компании обладают пониманием, зачем это им вообще нужно. Но если мы говорим про крупных разработчиков, которые сами потом и делают реализацию проекта, то они могут себе позволить внедрение DevSecOps.

Подобный проект позволит ЦИБ МО сделать портал Московской области достаточно защищенным и обеспечить его развитие без потери защищенности. А поскольку он является модельным для центров управления регионами (ЦУР), то, возможно, аналогичные программы будут проводиться по всей стране.

В результате тендера победителем из двух претендентов стала 29 ноября компания ООО «Комплаинс Софт».

Примечания