Все про українців на Батьківщині й за кордоном
ВАЖЛИВО

Кабмін легалізував Bug Bounty для державних систем: як працюватиме нова модель кіберзахисту

9 Грудня 2025, 16:30

Фото – istockphoto

Кабінет Міністрів України ухвалив постанову №1580 від 3 грудня 2025 року, яка вперше створює повноцінну правову рамку для залучення «етичних хакерів» до пошуку вразливостей у державних системах та на об’єктах критичної інформаційної інфраструктури. 

Про це повідомив Урядовий портал, передає ІА «Ре-Інформ». 

Постанова визначає три напрями виявлення вразливостей у державних ІТ-системах:

1. CERT-UA, галузеві CSIRT та власники систем – постійно збирають та аналізують інформацію про вразливості;

2. Державний центр кіберзахисту Держспецзв’язку – здійснює планове та позапланове сканування вебресурсів і проводить пошук вразливостей під час оцінки захищеності;

3. Зовнішні дослідники – залучаються до пошуку вразливостей на визначених умовах.

Документ також вносить зміни до Порядку №497 та легалізує програми Bug Bounty на постійній основі, а також запроваджує механізм узгодженого розкриття вразливостей.

У межах Bug Bounty власник системи або організатор програми публікує пропозицію з чітко визначеними умовами: обсяг тестування, правила повідомлення про знайдені «дірки» та джерела винагороди.

Дослідники, які беруть участь у програмі, повинні одночасно повідомити про вразливість і власника системи, і національну команду реагування CERT-UA або відповідну CSIRT.

Механізм узгодженого розкриття дозволяє досліднику легально повідомити про вразливість навіть без участі у Bug Bounty. Водночас порядок забороняє втручання в роботу системи чи експлуатацію вразливості. Про виявлену проблему потрібно інформувати невідкладно — не пізніше ніж за 24 години.

CERT-UA визначено національним координатором, який аналізуватиме отриману інформацію, передаватиме її через захищені канали та координуватиме дії з усунення загроз.

У Мінцифри наголошують, що ухвалення постанови переводить взаємодію з «білими хакерами» із «сірої зони» у правове поле та відповідає практикам ЄС і рекомендаціям ENISA. Це дозволить виявляти вразливості до того, як ними скористаються зловмисники, та наблизить Україну до інтеграції в єдиний європейський кіберпростір.

 

Останні новини
РЕАЛІЇ ОКУПАЦІЇ