Чтобы найти «дыры» в российском софте, Минкомсвязи наймет хакеров

Чтобы найти уязвимые места в софте, который входит в реестр отечественного программного обеспечения, Министерство связи и массовых коммуникаций собирается привлечь хакеров.

Как считает заместитель министра связи Алексей Соколов, разработка рекомендаций в сфере информационной безопасности может стать перспективным направлением деятельности государства в этой области. На данный момент в ведомстве ведется работа по разработке того, как международный принцип «bug bounty»¹ можно использовать для продуктов, внесенных в реестр отечественного программного обеспечения, и для объектов, которые используются в АСУ ТП².

1 – принцип «bug bounty» – если дословно, то это премия за найденную ошибку, принцип награждения экспертов по вопросам безопасности, которые находят уязвимости в службах и приложениях тех или иных компаний.

2 – АСУ ТП – автоматизированная система управления технологическим процессом.

На ресурсах, где применяют программу «bug bounty», компаниями-разработчиками размещается информация о размере денежного вознаграждения, которое они готовы выплатить за определенные уязвимости. IT-специалисты проверяют софт, и в случае обнаружения различных «дыр», через специальную форму сообщают о найденных уязвимостях, расписывая нюансы и то, какие действия приводят к тому, что уязвимость проявляет себя.

Российские IT-компании уже давно и активно используют систему поиска уязвимостей «bug bounty». Размер вознаграждения может доходить до нескольких тысяч долларов (а то и больше).

Например, в 2013 году Яндекс в 3 раза поднял максимальную планку выплат за найденную «дыру» (раньше было 30 тысяч рублей, стало 100 тысяч).

А теперь и Министерство связи и массовых коммуникаций решило использовать принцип «bug bounty».