Минкомсвязи хочет привлечь хакеров для поиска уязвимостей в софте, внесенном в реестр отечественного ПО, пишет газета "Известия".
"Одним из перспективных направлений деятельности государства в области информационной безопасности должна стать координация разработки рекомендаций в сфере безопасности и регламентов тестирования методов реагирования на киберугрозы, в том числе с возможностью внедрения программ поиска уязвимостей bug bounty. Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП (автоматизированная система управления технологическим процессом) и иных критически важных инфраструктурах", – сообщил изданию замминистра связи Алексей Соколов.
Так называемые bug bounty представляют собой соревнование хакеров в формате, предусматривающем их премирование за обнаружение уязвимостей на сайтах или в том или ином ПО. Подобные соревнования активно практикуются многими компаниями. Например, за последний год соцсеть "ВКонтакте" выплатила хакерам за найденные уязвимости свыше 70 тысяч долларов, а на днях итоги первого публичного bug bounty подвели в Пентагоне.
Идею привлечь хакеров для улучшения отечественного ПО прокомментировали и в пресс-службе Минкомсвязи. Представители ведомства сообщили, что возможность применения этого подхода обсуждается министерством с отраслевым сообществом.
"Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора. Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов. Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются", – говорится в заявлении ведомства.
По словам директора по методологии и стандартизации компании Positive Technologies Дмитрия Кузнецова, для российского рынка ПО долгое время было характерно "наплевательское" отношение к качеству программного кода. Позднее ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях картина по-прежнему остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО. Например, если у разработчиков среди прочих требований появится обязанность демонстрировать качество своих разработок с помощью таких вот программ bug bounty.
При этом Кузнецов отметил, что проведение bug bounty связано с техническими и организационными трудностями. Так, разработчик не всегда может выложить дистрибутив программы для исследования. Кроме того, квалификации специалистов некоторых компаний, создающих ПО, может не хватить для адекватной оценки сообщений хакеров о найденных уязвимостях.
"Таких сложностей достаточно много, и проведение программ bug bounty сегодня является прерогативой крупных компаний-разработчиков. Ситуацию можно изменить, если объединить усилия крупных заинтересованных потребителей, например тех же банков, естественных монополий, а также самих разработчиков, других заинтересованных лиц, и создать единую площадку для проведения таких исследований", – отметил Кузнецов.