27 мая, 2016 
adminGWP Moscow-Live.ru
России, коммуникаций и связи, министерство хочет, чтобы хакеров для поиска уязвимостей в софте, внесенном в реестр отечественного По, пишет «Известия».
«Одним из перспективных направлений деятельности государства в сфере информационной безопасности, чтобы быть координация выработке предложений в сфере безопасности и правил тестирования методов реагирования на киберугрозы, в том числе возможность внедрения программ поиска уязвимостей bug bounty. Мы прорабатываем возможность использования этого международные принципы как для товаров, включенных в реестр отечественных, так и другие объекты, которые используются, например, СИСТЕМЫ ТАРИФНЫХ планов (автоматизированная система управления технологическим процессом) и других важных объектов инфраструктуры», – изданию сообщил заместитель министра связи Алексей Соколов:
Так называемый bug bounty представляет конкурс хакеров в формате, предусматривающем их в награду за обнаружение уязвимости на веб-сайтах или в той или иной. Подобные соревнования активно практикуется многими компаниями: Например, в прошлом году социал «Вконтакте» заплатил хакеры также для обнаруженных уязвимостей в более чем 70 тысяч долларов, а на днях первые результаты публичных bug bounty подведены в Пентагон.
Идея привлечь хакеров для улучшения отечественной прокомментировал и пресс-службы россии, коммуникаций и связи, министерство. Ведомства, представители сообщили, что возможность применения этого подхода рассматривается министерством промышленности сообщества.
«Инициативу также поддерживает ряд крупных компаний с государственным участием и частного сектора. Системы использование грантов для частных лиц и организаций для стимулирования исследований для обнаружения уязвимостей, на мировой опыт, эффективным дополнительным средством для обеспечения информационной безопасности программных продуктов. Расходы средств федерального бюджета на данные цели, а также привлекать другие государственные ресурсы не планируется», – говорится в ведомства сообщении.
По словам директора методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов для российского рынка в течение длительного времени было характерно «наплевательское» отношение к качеству программного кода. Позже ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться млрд рублей. Но в остальных регионах картина продолжает оставаться позорным. Изменять могут и продвижения товаров процессы, в которых разработчики заинтересованы в том, чтобы их программное обеспечение средства были в реестре отечественных. Например, если разработчики, в числе других требований появится обязанность проявлять качества разработок с помощью таких вот программ bug bounty.
При этом Кузнецов отметил, что проведение bug bounty в связи с техническими и организационными трудностями. Так, разработчик не всегда может бомбить linux программы для изучения. Кроме того, специалистов квалификационный некоторых компаний, которые, не хватило для адекватной оценки сообщения хакеров о найденных уязвимостях.
«Таких эффектов достаточно много, и проведение программ bug bounty сегодня прерогатива крупных компаний. Ситуацию можно изменить, если объединить усилия основных заинтересованных потребителей, например, тех же банков, естественных монополий, а также их разработчиков, других заинтересованных лиц, и в создании единой платформы для проведения таких исследований», – отметил Кузнецов.
Опубликовано в рубрике