Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Власти РФ намерены заплатить сторонним исследователям 800 млн рублей за поиск уязвимостей в государственных IT-системах.
Для поиска уязвимостей в IT-системах, в том числе государственных, российские власти собираются привлечь белых хакеров с апреля 2018 года. Об этом пишут «Ведомости» со ссылкой на утвержденный правительством план мероприятий по информационной безопасности, входящий в программу цифровой экономики.
До конца 2020 года на вознаграждения исследователям планируется выделить 800 млн рублей, из них 500 млн — из бюджетных средств. Отвечать за выполнение программы будут Минкомсвязи, ФСБ и Федеральная служба по техническому и экспортному контролю. Исполнителем назначен Центр компетенций по импортозамещению в сфере информационно-компьютерных технологий.
Как сообщил директор Центра Илья Массух, тестировать будут как государственные IT-системы, так и разработки российских и зарубежных поставщиков. Предполагается два вида проверок: с предварительным уведомлением клиента и без него. В первом случае заказчиком будет выступать сам разработчик, во втором речь идет об операционных системах, рыночных ИТ-платформах и СУБД.
Участвовать в поиске уязвимостей смогут все — и физические лица, и компании. Однако в случае, когда потребуется доступ к инфраструктуре систем, к тестированию допустят только организации.
После устранения найденных уязвимостей информацию о них либо опубликуют, либо будут сохранять в тайне от всех, кроме разработчика продукта или владельца системы.
Эксперты «Ведомостей» допускают, что уязвимости могут быть использованы в государственных интересах. Один из них считает, что им могут найти «тайное применение», другой полагает, что о них никто не узнает, кроме спецслужб.
Программы поиска уязвимостей сторонними исследователями за вознаграждение, также известные как bug bounty, возникли в 1995 году, когда компания Netscape пригласила экспертов поискать слабые места в своем детище — Netscape Navigator 2.0 Beta.
Сейчас такие программы есть у всех крупных международных компаний и популярных интернет-сервисов, включая Google, Facebook, Apple, а порой даже у нескольких компаний сразу, как, к примеру, у Intel и Microsoft. Размер вознаграждения за найденные уязвимости, по сведениям платформы HackerOne, объединяющей IT-специалистов из 150 стран мира, в 2017 году вырос и составляет в среднем $1923.
В США программы bug bounty действуют на государственном уровне: в 2016 году Министерство обороны после запуска пробной инициативы Hack the Pentagon перевело ее в статус постоянной и раскрыло с ее помощью более 3 тыс. уязвимостей.
В России подобные программы существуют у «Лаборатории Касперского«, Яндекса, Mail.ru и других крупных компаний. В мае 2016 года подобным способом поиска уязвимостей заинтересовались и государственные ведомства. Министерство связи и массовых коммуникаций разрабатывало стратегию запуска отечественной bug bounty для продуктов, включенных в реестр российского ПО.
«Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора, — отметила тогда пресс-служба Минкомсвязи. — Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов». Однако в тот раз в бюджете, как и в других государственных планах, не заложили статьи расходов на bug bounty.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |