Київ, 9 грудня 2025 року — Кабінет Міністрів України ухвалив постанову, яка легалізує проведення програм Bug Bounty для державних інформаційних систем. Відповідне рішення було прийняте з метою підвищення кібербезпеки та захисту критичної інфраструктури країни – пише dev.ua.
Основні положення постанови
Нові правила передбачають офіційне залучення етичних хакерів до перевірки державних систем на вразливості. Згідно з постановою:
- Офіційний формат перевірки: Державні органи та уповноважені центри реагування на інциденти (CERT‑UA, CSIRT) мають право організовувати програми Bug Bounty та співпрацювати із зовнішніми фахівцями.
- Регламент тестування: Власники систем зобов’язані визначати обсяг тестування, правила повідомлення про виявлені вразливості та механізми виплати винагород.
- Відповідальне розкриття (responsible disclosure): Дослідники мають право повідомляти про знайдені уразливості легально, за умови дотримання правил безпеки та своєчасного інформування власника системи і CERT‑UA протягом 24 годин.
Значення для кібербезпеки
Раніше діяльність із пошуку вразливостей у державних ІТ-системах могла бути юридично неврегульованою, що створювало правові ризики. Легалізація програм Bug Bounty дозволяє:
- Залучати широкий круг фахівців із кібербезпеки для своєчасного виявлення та усунення слабких місць;
- Підвищувати стійкість державних систем до кібератак;
- Узгоджувати практику з міжнародними стандартами кібербезпеки.
Видання GALERA.NEWS зазначає, що урядовий крок спрямований на зміцнення захисту інформаційних ресурсів держави та забезпечення безпеки даних громадян.
