Минкомсвязи планирует привлечь хакеров для поиска уязвимостей в отечественном ПО
26 мая 2016 10:20 #39179
от ICT
Минкомсвязи хочет привлечь хакеров для поиска уязвимостей в софте, внесенном в реестр отечественного ПО, пишет газета
"Известия"
. "Одним из перспективных направлений деятельности государства в области информационной безопасности должна стать координация разработки рекомендаций в сфере безопасности и регламентов тестирования методов реагирования на киберугрозы, в том числе с возможностью внедрения программ поиска уязвимостей bug bounty. Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП (автоматизированная система управления технологическим процессом) и иных критически важных инфраструктурах", – сообщил изданию замминистра связи Алексей Соколов. Так называемые bug bounty представляют собой соревнование хакеров в формате, предусматривающее их премирование за обнаружение уязвимостей на сайтах или том или ином ПО. Подобные соревнования активно практикуются многими компаниями. Например, за последний год соцсеть "ВКонтакте"
выплатила
хакерам за найденные уязвимости свыше 70 тысяч долларов, а на днях итоги первого публичного bug bounty
подвели
в Пентагоне. Идею привлечь хакеров для улучшения отечественного ПО прокомментировали и в пресс-службе Минкомсвязи. Представители ведомства сообщили, что возможность применения этого подхода обсуждается министерством с отраслевым сообществом. "Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора. Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов. Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются", – говорится в заявлении ведомства. По словам директора по методологии и стандартизации компании Positive Technologies Дмитрия Кузнецова, для российского рынка ПО долгое время было характерно "наплевательское" отношение к качеству программного кода. Позднее ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях сферах картина по-прежнему остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО. Например, если у разработчиков среди прочих требований появится обязанность демонстрировать качество своих разработок с помощью таких вот программ bug bounty. При этом Кузнецов отметил, что проведение bug bounty связано с техническими и организационными трудностями. Так, разработчик не всегда может выложить дистрибутив программы для исследования. Кроме того, квалификации специалистов некоторых компаний, создающих ПО, может не хватить для адекватной оценки сообщений хакеров о найденных уязвимостях. "Таких сложностей достаточно много, и проведение программ bug bounty сегодня является прерогативой крупных компаний-разработчиков. Ситуацию можно изменить, если объединить усилия крупных заинтересованных потребителей, например, тех же банков, естественных монополий, а также самих разработчиков, других заинтересованных лиц, и создать единую площадку для проведения таких исследований", – отметил Кузнецов.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.