Мінцифра проведе багбаунті мобільного застосунку Дія

Мінцифра проливає світло на майбутній багбаунті Дії, але не все. Текст повідомлення короткий, я раджу прочитати його повністю, після чого в мене буде кілька коментарів.

По-перше, вкотре бачу, як недолугі піарники Мінцифри використовують расистський термін “білі хакери”. Насправді те, що вони хочуть сказати, називається етичні хакери, або просто хакери. Англійською цей термін звучить як white-hat hackers, але через довжину перекладу та низьку популярність вестернів в Україні, його здебільшого застосовують в оригіналі.

По-друге, зусилля Мінцифри по підсиленню безпеки мобільного додатку, зокрема програма багбаунті, не мають нічого спільного з впевненістю користувачів у захищеності їхніх персональних даних. Громадяни України користуються Дією не тому, що ви її захищаєте, а тому, що ви типу уряд і від вас очікують, що ви будете це робити добре. Чи так це, покаже час.

По-третє, навіть пропускаючи безглуздий та незграбний реверанс в бік морально застарілої КСЗІ, мушу ткнути вас носом в те, що неможливо “успішно пройти пентест”. Пентест це не аудит, в якому вам скажуть, як ви гарно старалися. Пентест це спосіб вимірювання ефективності вашого захисту. І якщо перше вимірювання показує, що ви його “успішно пройшли”, то це означає лише те, що ви обрали не дуже кваліфікованих пентестерів. Про ефективність другого пентесту тоді годі й казати: якщо на меті в компанії стоїть “успішно пройти пентест”, а не виявити та виправити вразливості, то й постачальник послуг пентестів буде підбиратися відповідний.

А тепер увага, це найцікавіше. “Умови прості: за кожен знайдений недолік системи (баг) – хакер отримує винагороду.” Судячи з цього формулювання, Мінцифри планує винагороджувати хакерів за дублікати, тобто вразливості, про які повідомлять декілька дослідників безпеки. Це дуже щедро з боку організаторів, але скоріш за все призведе до того, що бюджет багбаунті буде вичерпано в першу годину.

А, зовсім забув, бюджет. Як ми й підозрювали, мільйон за багу перетворився у загальний призовий фонд в мільйон гривень, що на думку Мінцфири складає 35 тисяч доларів. Добре, що з конвертацією валют у міністерстві все добре. Але чисто з досвіду: 35 кусків за додаток, який обробляє (ну або буде обробляти) дані більшості населення чи не найбільшої європейської країни… Ви можете мені не вірити, але це не просто неадекватно, це суттєво нижче значно менш масштабних програм багбаунті, навіть для Українських компаній.

Підіб’ємо підсумки. Поки що можу констатувати у цьому заході лише один позитивний момент: він, здається, таки відбудеться. Не знаю, чим керується Мінцифра на шляху до здійснення мети, але очевидно, що не досвідом учасників або організаторів багбаунті. Формат, бюджет та піар події поки що створюють у мене враження, що все це не більше ніж інфопривід для чергової медіа-перемоги.