Šiandien startuoja „Bug Bounty“ konkursas, kurio metu programavimo entuziastai kviečiami ieškoti saugumo spragų 16-oje Vilniaus miesto savivaldybei priklausančių informacinių sistemų. Konkursas vyks 10 darbo dienų, o jo dalyviai, sėkmingai aptikę ir pranešę apie pagrįstas kibernetines spragas, gali būti apdovanoti piniginiais prizais iki 2,5 tūkst. eurų.
Laikantis visų galiojančių teisės aktų, konkurso dalyviai kviečiami identifikuoti saugumo spragas sostinės savivaldybės informacinėse sistemose (IS) ir apie jas atsakingai pranešti konkurso sąlygose nurodytu būdu. Visus pranešimus vertins specialiai sudaryta konkurso komisija ir dalyviams, už pagrįstus pranešimus, bus skiriami ir piniginiai prizai.
„Tikimės, kad „Bug Bounty“ konkursas ne tik paskatins dalyvauti iniciatyvią saugumo bendruomenę, bet ir padės laiku identifikuoti nenumatytas informacinių sistemų spragas. Pastabiausiems dalyviams, suradusiems reikšmingas sistemų spragas, bus skiriami skatinamieji piniginiai prizai, kurių dydis priklausys nuo aptiktos spragos sudėtingumo. Todėl kviečiame programavimo entuziastus aktyviai dalyvauti“, – sako Vilniaus miesto savivaldybės administracijos Inovacijų ir technologijų grupės vadovas Jonas Pidkovas.
Populiari praktika užsienio šalyse
Vis daugiau komercinių ir viešųjų paslaugų teikiamos internetu, diegiamos įvairios informacinės sistemos, gyventojų ir klientų duomenys, dokumentai tvarkomi skaitmeninėje erdvėje. Todėl auga poreikis užtikrinti šių sistemų ir gyventojų duomenų saugumą. Užsienyje tampa įprasta praktika patikrinti sistemų saugumą ir atrasti pačių organizacijų nepastebėtas spragas, o už tai siūlomi piniginiai prizai atsakingiems programavimo aistruoliams.
„Lietuvoje, taip pat, vis dažniau susiduriame su kibernetinėmis atakomis, kai įsilaužėliai, pasinaudodami sistemų spragomis, nutekina svarbius klientų duomenis. Nuo įsilaužėlių jau yra nukentėjusi ne viena šalies įmonė, todėl nuolat ieškome būdų, kaip laiku nustatyti galimas spragas ir užkirsti kelią kibernetinėms grėsmėms ateityje. Išanalizavę kitų šalių ir organizacijų patirtis, matome, kad piniginiai prizai už tokių spragų suradimą veikia kaip abipusė nauda tiek „etiškam įsilaužėliui“, tiek organizacijai. Tikimės, kad „Bug Bounty“ konkursas pritrauks IT bendruomenę ir padės sustiprinti sostinės savivaldybės informacinių sistemų apsaugą nuo potencialių grėsmių“, – teigia J. Pidkovas.
Reikalavimai konkurso dalyviams
Konkurse gali dalyvauti visi fiziniai asmenys, ne jaunesni kaip 18 metų, užpildę registracijos formą ir pasirašę konfidencialumo pasižadėjimą, taip pat nepilnamečiai (nuo 14 iki 18 metų), pateikę tėvų (globėjų) rašytinį sutikimą bei užpildę registracijos formą ir pasirašę konfidencialumo pasižadėjimą.
Konkurso dalyviai nuo konkurso pradžios per 10 darbo dienų gali pateikti pranešimus apie jų atrastas spragas nurodytuose Vilniaus miesto savivaldybės tinklalapiuose, tačiau tam pačiam dalyviui negali būti išmokėta daugiau nei 30 proc. numatyto prizinio fondo.
Po šio termino konkurso komisija nagrinės gautus pranešimus ir vertins juos pagal sudėtingumo lygį. Išskiriami penki sudėtingumo lygiai: ypatingas / išskirtinis, kritinis, didelis, vidutinis, žemas. Atitinkamai, įvertinus pranešimo sudėtingumą, bus išmokėtas piniginis prizas nuo 50 iki 2,5 tūkst. eurų (didesnės nei 200 eurų sumos apmokestinamos ir bus išmokamos atskaičius mokesčius).
