Минкомсвязи наймет хакеров для поиска «дыр» в русском софте

Минкомсвязи желает привлечь хакеров для поиска уязвимостей в софте, внесенном в список отечественного ПО, пишет газета Известия.

«Мы прорабатываем возможность использования данного интернационального принципа как для продуктов, включенных в список отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП (автоматизированная система управления технологическим процессом) и иных критически важных инфраструктурах», — сообщил замминистра связи Алексей Соколов в комментарии газете «Известия». Хакеры, по утверждению замминистра связи Алексея Соколова, будут привлекаться через особые программы bug bounty.

Так называемые bug bounty представляют из ебя соревнование хакеров в формате, предусматривающем их премирование за обнаружение уязвимостей на интернет-ресурсах либо в том либо другом ПО. Однако ясно, что премии будут оплачивать в русских рублях. Минкомсвязи будет только координировать программу, а финансирование выделят большие коммерческие компании.

В Минкомсвязи «Известиям» подтвердили, что похожую инициативу поддерживает и ряд больших компаний с национальным участием. Сотрудники ведомства сказали, что возможность использования данного подхода обсуждается министерством с отраслевым сообществом. Будет применена система грантов для частных лиц и компаний. «Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются», — отмечают в пресс-центре Минкомсвязи. Уже есть первые замечания.

Ученые за вознаграждение будут искать уязвимости в продуктах, включенных в список отечественного ПО. Другими словами нужно указывать, какую степень защиты обязана иметь каждая программа. В рамках программы импортозамещения этот список с большой скоростью пополняется продуктами, которые по своим задачам дублируют иностранные аналоги, однако не могут сравниться с ними по качеству.

На русском рынке качество ПО на протяжении затяжного времени было «наплевательское» отношение к качеству программного кода, считает руководитель по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. — Ситуация начала изменяться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами руб.

«Сырое» и ненадежное ПО уже стало предпосылкой огромного ущерба в банковских системах, поэтому софт для данной сферы на текущий момент пишется иначе. Так, разработчик не всегда может выложить дистрибутив программы для исследования.