Kur galima rasti sprendimą: https://vilnius.lt/lt/bug-bounty/
Kodėl ir kaip?
Tiek valstybinės įstaigos, tiek privataus sektoriaus organizacijos nuolat susiduria su įvairiomis kibernetinėmis atakomis, atsiranda nauji atakų metodai, todėl labai svarbu nuolat ieškoti naujų priemonių kaip dar labiau sustiprinti informacinių sistemų saugumą ir skirti šiai sričiai nenutrūkstamą dėmesį. Negana to, vis daugiau komercinių ir viešųjų paslaugų teikiamos internetu, diegiamos informacinės sistemos, gyventojų ir klientų duomenys, dokumentai tvarkomi skaitmeninėje erdvėje. Todėl auga poreikis užtikrinti šių sistemų ir gyventojų duomenų saugumą. Technologijos mus lydi daugybėje sričių (nuo medicinos, švietimo iki kitų kasdienių veiklų), tad kibernetinio saugumo sritis tampa vis didesniu iššūkiu daugeliui miestų visame pasaulyje. Vilnius neabejotinai nori būti lyderiaujančiu miestu kibernetinio saugumo srityje. Sprendimo tikslas – siekiant Vilniaus miesto kibernetinio saugumo didinimo, sukurti procesą, suteikiantį galimybę etiškiems saugumo tyrėjams, nepažeidžiant galiojančių teisės aktų, identifikuoti Vilniaus miesto savivaldybės informacinių sistemų saugumo spragas, apie jas atsakingai pranešti, šalinti rastus pažeidžiamumus ir už pagrįstus pranešimus skirti prizus Konkurso dalyviams. „Bug Bounty“ konkurso metu programavimo entuziastai kviečiami ieškoti saugumo spragų nurodytose ir Vilniaus miesto savivaldybei priklausančiose informacinėse sistemose. Konkursas vyksta 10 darbo dienų, o jo dalyviai, sėkmingai aptikę ir pranešę apie pagrįstas kibernetines spragas gali būti apdovanoti piniginiais prizais. Sprendimo naudos: 1. Pilietiškų iniciatyvų rėmimas ir etiškų „hakerių“ įtraukimas į kibernetinio saugumo didinimo iniciatyvas Vilniaus mieste; 2. Užtikrinamas Vilniaus miesto gyventojų duomenų, informacijos ir kitų IT išteklių saugumas; 3. Proaktyvus sistemų valdymas – galimos ar naujo pobūdžio saugumo spragos pašalinamos iki realaus incidento atsiradimo (išvengiama realaus įsilaužimo ar duomenų nutekėjimo); 4. Kaip organizacija, galime skirti papildomus resursus naujų IS kūrimui ir plėtrai; 5. Saugumo bendruomenės motyvavimas įsitraukti; 6. Konkurso sąnaudos mažesnės nei išorės įmonių testavimo paslaugos. Visa aktuali informacija apie patį konkursą, išskiriamus spragų lygius ir galimus gauti prizus patalpinta konkurso puslapyje https://vilnius.lt/lt/bug-bounty/
Kuo išskirtinis?
Kaip pati organizacija rimtai vertiname saugumo klausimus ir nuolat ieškome priemonių kaip dar labiau sustiprinti IS vartotojų duomenų ir informacijos saugumą. Užsienio šalyse panašios į „Bug Bounty“ praktikos nėra naujiena. Atsakingiems programavimo aistruoliams (dar žinomiems kaip baltosios kepurės, angl. White Hats), atradus pačių organizacijų nepastebėtas saugumo spragas, siūlomi piniginiai prizai. Tuo tarpu Lietuvoje, o ypatingai viešajame sektoriuje, esame viena pirmųjų viešojo sektoriaus organizacijų, kurios ėmėsi šios iniciatyvos įgyvendinimo. Tad atlikę išsamią analizę ir įsivertinę iniciatyvos pritaikymą Vilniaus mieste, iš pagrindų apsirašėme konkurso tvarką, susidėjome saugiklius bei įsipareigojimus konkurso dalyviams ir inicijavome programos „Bug Bounty“ konkursą. Atvirumas ir saugumas yra esminės mūsų organizacijos veiklos vertybės, todėl tikimės, kad „Bug Bounty“ konkursas prisidės prie iniciatyvios saugumo bendruomenės įtraukimo, padės laiku identifikuoti potencialias grėsmes ir leis daugiau dėmesio investuoti į papildomas saugumo didinimo veiklas.
Video nuoroda: https://www.youtube.com/watch?v=Xxxzxuv3z1k