Для поиска уязвимостей в IT-системах, в том числе государственных, российские власти собираются привлечь белых хакеров с апреля 2018 года. Об этом пишут «Ведомости» со ссылкой на утвержденный правительством план мероприятий по информационной безопасности, входящий в программу цифровой экономики.

До конца 2020 года на вознаграждения исследователям планируется выделить 800 млн рублей, из них 500 млн — из бюджетных средств. Отвечать за выполнение программы будут Минкомсвязи, ФСБ и Федеральная служба по техническому и экспортному контролю. Исполнителем назначен Центр компетенций по импортозамещению в сфере информационно-компьютерных технологий.

Как сообщил директор Центра Илья Массух, тестировать будут как государственные IT-системы, так и разработки российских и зарубежных поставщиков. Предполагается два вида проверок: с предварительным уведомлением клиента и без него. В первом случае заказчиком будет выступать сам разработчик, во втором речь идет об операционных системах, рыночных ИТ-платформах и СУБД.

Участвовать в поиске уязвимостей смогут все — и физические лица, и компании. Однако в случае, когда потребуется доступ к инфраструктуре систем, к тестированию допустят только организации.

После устранения найденных уязвимостей информацию о них либо опубликуют, либо будут сохранять в тайне от всех, кроме разработчика продукта или владельца системы.

Эксперты «Ведомостей» допускают, что уязвимости могут быть использованы в государственных интересах. Один из них считает, что им могут найти «тайное применение», другой полагает, что о них никто не узнает, кроме спецслужб.

Программы поиска уязвимостей сторонними исследователями за вознаграждение, также известные как bug bounty, возникли в 1995 году, когда компания Netscape пригласила экспертов поискать слабые места в своем детище — Netscape Navigator 2.0 Beta.

Сейчас такие программы есть у всех крупных международных компаний и популярных интернет-сервисов, включая Google, Facebook, Apple, а порой даже у нескольких компаний сразу, как, к примеру, у Intel и Microsoft. Размер вознаграждения за найденные уязвимости, по сведениям платформы HackerOne, объединяющей IT-специалистов из 150 стран мира, в 2017 году вырос и составляет в среднем $1923.

В США программы bug bounty действуют на государственном уровне: в 2016 году Министерство обороны после запуска пробной инициативы Hack the Pentagon перевело ее в статус постоянной и раскрыло с ее помощью более 3 тыс. уязвимостей.

В России подобные программы существуют у «Лаборатории Касперского«, Яндекса, Mail.ru и других крупных компаний. В мае 2016 года подобным способом поиска уязвимостей заинтересовались и государственные ведомства. Министерство связи и массовых коммуникаций разрабатывало стратегию запуска отечественной bug bounty для продуктов, включенных в реестр российского ПО.

«Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора, — отметила тогда пресс-служба Минкомсвязи. — Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов». Однако в тот раз в бюджете, как и в других государственных планах, не заложили статьи расходов на bug bounty.

Категории: Кибероборона