Мінцифри: Bug Bounty – для державних систем

09.12 20:06    

Кабінет Міністрів України ухвалив постанову від 3 грудня 2025 року № 1580, яка створює правову рамку для залучення «етичних хакерів» до пошуку вразливостей у системах, які обробляють державні інформаційні ресурси та інформацію з обмеженим доступом, а також на об’єктах критичної інформаційної інфраструктури.

Постанова встановлює чіткі правила для взаємодії між державою та спільнотою фахівців з кібербезпеки. Відтепер пошук вразливостей здійснюватиметься за трьома основними напрямами:

▪️CERT-UA, галузеві CSIRT та власники систем на постійній основі здійснюють збір та аналіз інформації про вразливості;

▪️Державний центр кіберзахисту Держспецзв'язку (ДЦКЗ) проводить планове та позапланове сканування державних веб-ресурсів на наявність вразливостей, а також пошук вразливостей під час проведення оцінки стану захищеності систем;

▪️залучення зовнішніх дослідників до пошуку вразливостей на визначених умовах.

Постанова також вносить зміни до Порядку № 497, що легалізують на постійній основі програми Bug Bounty (пошук вразливостей за винагороду) та запроваджують механізм узгодженого розкриття вразливостей.

Основою для співпраці в рамках процедури Bug Bounty є публічна пропозиція, в якій власник системи або організатор програми чітко визначає всі умови: обсяг тестування, правила повідомлення про вразливість та джерела виплати винагороди.

Дослідники, що долучаються до такої програми, зобов’язані суворо дотримуватися певних умов, зокрема про знайдену вразливість одночасно повідомити не лише власника системи, а й національну команду реагування CERT-UA або відповідну CSIRT.

Механізм узгодженого розкриття вразливостей дозволяє будь-якому досліднику, навіть без участі у програмі Bug Bounty легально та відповідально повідомити про виявлену «дірку» в безпеці.

Порядок надає досліднику право на пошук вразливостей за умови не втручання в роботу системи та не здійснення експлуатації вразливості. Водночас він встановлює чіткий обов’язок: у разі виявлення вразливості дослідник має невідкладно, не пізніше 24 годин, повідомити про неї власника системи та CERT-UA (або CSIRT).

У цьому процесі національна команда реагування CERT-UA виступає національним координатором, який аналізує отриману інформацію, поширює її через захищені канали та координує подальші дії з усунення загрози.

Читайте по темі: «3000 км Україною» – програма стартувала у тестовому режимі для прифронтових громад - https://ruporzt.com.ua/ukraina/232693-3000-km-ukrayinoyu-programa-startuvala-u-testovomu-rezhim-dlya-prifrontovih-gromad.html

Ухвалення постанови переводить взаємодію з «білими хакерами» із «сірої зони» у правове поле, що відповідає найкращим світовим практикам (зокрема, рекомендаціям ENISA). Це створює додатковий ешелон захисту, дозволяючи виявляти вразливості до того, як їх знайдуть зловмисники.
Запровадження ролі CERT-UA як національного координатора узгодженого розкриття та взаємодія з Європейською базою вразливостей ENISA є важливим кроком на шляху до інтеграції України в єдиний європейський кіберпростір.