Минкомсвязи заплатит российским хакерам

в 7:23, , рубрики: bug bounty, информационная безопасность, Минкомсвязи, реестр российского ПО, Софт, уязвимости

Министерство собирается открыть программу Bug Bounty для поиска уязвимостей в отечественном софте

Минкомсвязи РФ собирается перенять стандартный опыт западных компаний и запустить программу выплаты вознаграждений за найденные уязвимости. Хакерам оплатят поиск багов в программном обеспечении, которое входит в реестре отечественного ПО, и не только.

«Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП (автоматизированная система управления технологическим процессом) и иных критически важных инфраструктурах», — сказал замминистра связи Алексей Соколов в комментарии газете «Известия».

Окончательное решение по Bug Bounty и сумма вознаграждений пока не определены. Но ясно, что премии будут выплачивать в российских рублях.

Из госбюджета хакерам не дадут ни копейки. Минкомсвязи будет только координировать программу, а финансирование выделят крупные коммерческие компании.

«Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора, — сообщили в пресс-службе Минкомсвязи. — Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов. Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются».

Сейчас Минкомсвязи обсуждает идею с сообществом. Уже есть первые замечания. Например, главы компании ALT Linux Алексея Смирнов отметил, что в реестре отечественного ПО есть софт вроде школьной программы «География, 7-й класс», и «проверять её через подобные системы было бы нелепо». То есть нужно указывать, какую степень защиты должна иметь каждая программа.

Вообще, в России сложилась парадоксальная ситуация. Здесь самые лучшие в мире хакеры, здесь создают самые профессиональные и сложные хакерские инструменты (что признают даже в ФБР), но при этом здесь исключительно низкое качество коммерческих программ. Программы импортозамещения могут только усугубить ситуацию, ведь для российских компаний ослабляется конкуренция и пропадает стимул создавать более качественный продукт.

«Основная проблема заключается в том, что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода, — говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. — Ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях ситуация остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО».

Автор: alizar

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js