В декабре 2023 года был завершен конкурс по организации защиты портала госуслуг Московской области — победителем стал Комплаинс Софт. Компания приступила к исполнению требований конкурсной документации, где, в частности, есть требование проведения открытого конкурса по поиску уязвимостей.
Портал госуслуг Московской области был запущен в 2012 году, и сейчас он предоставляет доступ к более 300 электронным услугам. Его посещают около 4 млн человек в месяц, причем более 77% из них подтвердили свои учетные данные. Понятно, что защита такого количества персональной и чувствительной информации очень важна для региона, и для государства в целом, поскольку портал Подмосковья является модельным для Центров управления регионом (ЦУР), которые сейчас установлены во множестве других краев и областей России.
Центр информационной безопасности Московской области в середине ноября объявил тендер на внедрение технологии безопасной разработки DevSecOps для своей государственной информационной системы «Портал государственных и муниципальных услуг (функций) Московской области». Проект предполагает оказание услуг по организации киберучений, проведение программы по поиску уязвимостей и оценке уровня защищенности информационных ресурсов Московской области. Неотъемлемой его частью является и продление на год лицензии на систему «Вебмониторэкс 850М», которая обеспечивает контроль API и защищает от атак с его использованием.
В Московской области уже построен конвейер CI/CD, что характерно для методологии DevOps. После того, как в него встроить методы статического и динамического анализа кода, инструменты контроля зависимостей и управления уязвимостями, компоненты для анализа контейнеров, мобильных приложений и встроенных данных аутентификации, а затем обучить не более 30 сотрудников всеми этими инструментами пользоваться, то получится полноценный DevSecOps.
Евгений Верезуб, коммерческий директор Комплаинс Софт:
Применение концепции безопасной разработки программного обеспечения (DevSecOps) становится положительным трендом для компаний и организаций, которые уделяют особое внимание безопасности выпускаемых программных продуктов и информационной безопасности в целом.
Технология DevSecOps позволяет встраивать безопасность ещё в процессе разработки продуктов на всех этапах непрерывного цикла создания программного обеспечения, а не только внедрять на этапе его готовности. Это в купе с другими средствами позволяет существенно повысить защищенность информационных систем с меньшими затратами. Компания Комплаинс Софт имеет необходимый опыт и компетенции в части реализации концепции DevSecOps для защиты процессов разработки программных решений, что позволит успешно реализовать данную концепцию в Центре информационной безопасности Московской области, и как следствие повысит уровень защищенности «Портала государственных и муниципальных услуг (функций) Московской области», выполняющего важную социальную функцию.
Не менее интересный раздел относится к программе киберучений, целью которых является повышение готовности специалистов к предупреждению, реагированию и ликвидации последствий компьютерных атак на информационные ресурсы. В планах ЦИБ Московской области совместно с Комплаинс Софт разработать не менее десятка сценариев проверки всех необходимых компонентов защиты. При их планировании и проведении требуется следовать методикам PTES и NIST SP800−115, которые относятся к тестам на проникновение (пентестам). Фактически, это пентест для проверки работы средств защиты веб-ресурсов заказчика, его серверов и рабочих станций, а также сетевой инфраструктуры.
В рамках реализации требований конкурса на платформе Standoff 365 Комплаинс Софт была открыта краткосрочная программа тестирования портала Московской области, которая будет действовать до 29 декабря. Максимальное вознаграждение за обнаружение критической уязвимости составит 150 тыс. руб. В программе могут принимать участие граждане России старше 18 лет, которые зарегистрированы на платформе Standoff 365.
В целом внедрение DevSecOps с последующим проведением пентеста, а далее bug bounty является основным путем работы с уязвимостями в публичных веб-приложениях, который обеспечивает ресурсу и оценку защищенности, и построение системы защиты, которая сможет максимально оперативно устранять обнаруженные уязвимости, как появившиеся недавно, так и присутствующие в системе достаточно давно.
Подобный проект позволит ЦИБ МО сделать портал Московской области достаточно защищенным и обеспечить его развитие без потери защищенности.
