Минкомсвязи привлечет хакеров для поиска уязвимостей в русском ПО
Минкомсвязи обсуждает возможность использования системы bug bounty для поиска уязвимостей в общегосударственном ПО. Об этом «Известиям» поведал заместитель министра связи Алексей Соколов.
Системы поиска уязвимостей bug bounty пользуются большой популярностью среди русских IT-компаний. На специализированных ресурсах клиент размещает информацию о том, за какие обнаруженные уязвимости какую сумму они готовы платить. После этого белые хакеры через специальную форму докладывают о отысканных «дырах» и описывают порядок действий, которые нужно сделать разработчику, чтобы ее воспроизвести.
Ученые безопасности обнаруживают уязвимости в предоставленных разработчиками продуктах и получают за это определенное вознаграждение.
Системы поиска уязвимостей «bug bounty» очень популярны среди русских IT-компаний. Сумма выплачиваемых ими вознаграждений колеблется от нескольких десятков до нескольких тыс. долларов зависимо от трудности найденной уязвимости. Будет применена система грантов для частных лиц и компаний.
В пресс-центре Минкомсвязи пояснили, что возможность использования данного принципа на текущий момент обсуждается с отраслевым сообществом. Но пока не ясно, кто именно будет оплачивать работу хакеров.
В начале весны руководитель Минкомсвязи Николай Никифоров направлял национальным и муниципальным заказчикам письмо с разъяснением о применении реестра русского ПО в части соблюдения требований по защите информации. — Ситуация начала изменяться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами руб. В банковской сфере ситуация уже улучшается, но во всех остальных областях проблема остается нерешенной. В рамках программы импортозамещения этот список с большой скоростью пополняется продуктами, которые по своим задачам дублируют иностранные аналоги, однако не могут сравниться с ними по качеству. Программы по выплате вознаграждения за обнаруженные уязвимости помогут организациям продемонстрировать качество собственных разработок.
Если система bug bounty будет благополучно внедрена, в закон могут внести поправки, не позволяющие разработчикам претендовать на внесение их программных продуктов в список отечественного ПО, если они не участвуют в таких проверках.
— Кроме того, необходимо как-то подвергать анализу результаты, так как сообщения об уязвимостях не всегда достоверны, а некоторые достоверные сообщения об уязвимостях разработчик не может воспроизвести из-за отсутствия нужной квалификации у собственных профессионалов, — говорит Кузнецов. Схожие состязания активно практикуются многими компаниями.
По утверждению руководителя компании ALT Linux Алексея Смирнова, список отечественного ПО был создан для того, чтобы был простой способ отличить отечественный софт от неотечественного, однако нахождение в реестре не говорит о качестве программного кода. Так, разработчик не всегда может выложить дистрибутив программы для исследования.
— В реестре есть программы, предназначенные не только лишь для органов власти. — Если софт обязан иметь определенную степень защиты, то это должно быть обозначено при закупках.
Поделитесь в вашей соцсети👇
