Кабінет Міністрів України ухвалив постанову, яка встановлює правові засади для проведення програм Bug Bounty у державних інформаційних системах. Рішення спрямоване на підвищення рівня кібербезпеки та захисту критичної інформаційної інфраструктури – пише dev.ua.
Основні положення постанови
Згідно з постановою:
- Організація перевірок: державні органи та уповноважені центри реагування на інциденти (CERT‑UA, CSIRT) можуть організовувати програми Bug Bounty, залучаючи зовнішніх спеціалістів із кібербезпеки.
- Регламент взаємодії: визначено чіткі правила щодо обсягу тестування, порядку повідомлення про виявлені вразливості та механізмів виплати винагород за знайдені баги.
- Відповідальне розкриття: дослідники можуть легально повідомляти про уразливості, дотримуючись принципів безпеки та інформуючи власника системи і CERT‑UA протягом 24 годин.
Значення для державних ІТ-систем
Прийняття постанови дозволяє:
- Залучати кваліфікованих фахівців до пошуку вразливостей у державних системах;
- Підвищити рівень захисту інформаційних ресурсів та даних громадян;
- Узгодити практику кібербезпеки з міжнародними стандартами та рекомендаціями.
Видання Українські IT новини зазначає, що легалізація програм Bug Bounty створює правове підґрунтя для ефективного та безпечного виявлення вразливостей, що є важливим кроком у розвитку сучасної кібербезпеки в державному секторі України.