Государство пригласит исследователей искать IT-уязвимости. Об этом сообщают «Ведомости» со ссылкой на план мероприятий по информационной безопасности Программы цифровой экономики. До конца 2020 года на премии и призы за найденные уязвимости выделят 500 млн рублей из бюджета и 300 млн рублей внебюджетных средств. Поиск должен начаться в апреле этого года. Исполнителем работ назначили Центр компетенций по импортозамещению в сфере ИКТ.
По словам директора центра Ильи Массуха, тестироваться будут российские государственные IT-системы, а также продукты российских и зарубежных вендоров. По первой модели тестирования будет явный заказчик поиска уязвимостей, который даст доступ к своей системе для теста. По второй модели тестирование будет проходить без уведомления разработчика системы (речь идет о рыночных IT-платформах, операционных системах и системах управления базами данных). Средства между двумя моделями распределят в пропорции примерно 75 на 25.
Тестированием смогут заняться как физические лица, так и компании. Однако часть тестов будет доступна только компаниям, потому что такие тесты могут потребовать доступа к инфраструктуре систем. Найденные уязвимости после устранения будут публиковаться или сохраняться втайне от всех, кроме вендора или владельца IT-системы, также по словам Массуха.
Поиском уязвимостей давно занимаются такие компании, как, например, «Яндекс» и Mail.ru Group. Первая компания может заплатить исследователю максимум 170 000 рублей. А бонусы MRG за найденные уязвимости достигают $15 000. В мае 2016 года Минкомсвязи решило открыть программы bug bounty для поиска уязвимостей в отечественном ПО и «критически важных инфраструктурах».
