Министерство собирается открыть программу Bug Bounty для поиска уязвимостей в отечественном софте
Минкомсвязи РФ собирается перенять стандартный опыт западных компаний и запустить программу выплаты вознаграждений за найденные уязвимости. Хакерам оплатят поиск багов в программном обеспечении, которое входит в реестре отечественного ПО, и не только.
«Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП (автоматизированная система управления технологическим процессом) и иных критически важных инфраструктурах», — сказал замминистра связи Алексей Соколов в комментарии газете «Известия».
Окончательное решение по Bug Bounty и сумма вознаграждений пока не определены. Но ясно, что премии будут выплачивать в российских рублях.
Из госбюджета хакерам не дадут ни копейки. Минкомсвязи будет только координировать программу, а финансирование выделят крупные коммерческие компании.
«Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора, — сообщили в пресс-службе Минкомсвязи. — Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов. Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются».
Сейчас Минкомсвязи обсуждает идею с сообществом. Уже есть первые замечания. Например, главы компании ALT Linux Алексея Смирнов отметил, что в реестре отечественного ПО есть софт вроде школьной программы «География, 7-й класс», и «проверять её через подобные системы было бы нелепо». То есть нужно указывать, какую степень защиты должна иметь каждая программа.
Вообще, в России сложилась парадоксальная ситуация. Здесь самые лучшие в мире хакеры, здесь создают самые профессиональные и сложные хакерские инструменты (что признают даже в ФБР), но при этом здесь исключительно низкое качество коммерческих программ. Программы импортозамещения могут только усугубить ситуацию, ведь для российских компаний ослабляется конкуренция и пропадает стимул создавать более качественный продукт.
«Основная проблема заключается в том, что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода, — говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. — Ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях ситуация остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО».
Автор: alizar