Власти Сингапура объявили о запуске беспрецедентной программы Bug Bounty, в рамках которой самые успешные этичные хакеры и эксперты по кибербезопасности смогут заработать до 150 000 долларов за обнаружение одной уязвимости в важнейших государственных системах страны.
Государственное технологическое агентство Сингапура (GovTech) объявило о запуске «Программы вознаграждения за уязвимости (VRP)». Сообщается, что это было сделано властями Сингапура для привлечения ИБ-специалистов из глобального сообщества и сообщества «белых» хакеров. Обо всех обнаруженных ошибках и уязвимостях можно сообщать напрямую в агентство.
Согласно выпущенной программе VRP, власти Сингапура будут платить за все обнаруженные уязвимости сумму в размере от 250 до 5000 долларов США (размер выплаты зависит от серьёзности обнаруженных уязвимостей). Специальное вознаграждение в размере до 150 тыс. долларов США будет выплачено хакеру «за обнаружение уязвимостей, которые могут оказать исключительное воздействие на государственные системы и данные».
«Размер наших выплат по программе поиска уязвимостей в полной мере сравним с программами Bug Bounty, проводимыми глобальными технологическими компаниями, такими как Google и Microsoft. Это свидетельствует о приверженности правительства Сингапура обеспечению безопасности критически важных систем инфокоммуникационных технологий (ИКТ) и конфиденциальных личных данных», – заявили в Государственном технологическом агентстве Сингапура.
Отмечается, что в Сингапуре программа VRP будет работать постоянно. На данный момент у хакеров есть возможность найти уязвимости только в трёх государственных системах, но в Государственном технологическом агентстве Сингапура заявляют, что в скором времени в неё будут добавлены и другие критически важные системы ИКТ.
К участию в программе VRP будут допущены только хакеры и эксперты, прошедшие проверку и соответствующие строгим критериям, либо специально приглашенные. Проверка данных хакеров будет проводиться HackerOne. Зарегистрированные участники будут проводить тестирование безопасности через выделенную виртуальную частную сеть (VPN), предоставляемую HackerOne.
По словам GovTech, это делается для того, чтобы гарантировать, что действия по тестированию безопасности не выходят за рамки разрешенных правил взаимодействия.
