Хакеры займутся поиском уязвимостей в отечественном ПО
Софт, используемый на критических инфраструктурах протестируют через bug bounty
Минкомсвязи планирует привлечь белых хакеров для поиска уязвимостей в программах из реестра отечественного ПО. Замминистра связи Алексей Соколов рассказал «Известиям», о планах по использованию bug bounty для проверки российского софта.
На российском рынке качество ПО в течение долгого времени было «наплевательское» отношение к качеству программного кода, считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. Сейчас ситуация изменилась только в банковской сфере, где хакерские атаки способны привести к миллиардным потерям, при этом «в остальных областях ситуация остается плачевной», заявил спикер.
Если для попадания в реестр разработчикам придется проверять качество своих продуктов с помощью bug bounty — ситуация может измениться. Мировой опыт уже показал эффективность такого подхода.
Как сообщают в Минкомсвязи, расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются. Разработчики сами будут платить хакерам за взлом собственных продуктов.
Как правило, на сайтах, работающих по программе bug bounty, компании сообщают, за какие найденные уязвимости сколько денег они готовы заплатить. Затем белые хакеры через специальную форму сообщают о найденных «дырах» и описывают порядок действий, которые нужно проделать разработчику, чтобы ее воспроизвести. Если информация верна — хакер получает вознаграждение.
Bug bounty используется многими крупными российскими IT-компаниями. Например, Mail.ru и «ВКонтакте» используют HackerOne. В середине мая представители социальной сети сообщили, что за год было хакером было выплачено 70,85 тысяч долларов за найденные уязвимости.