Минкомсвязи РФ планирует запустить Bug Bounty

«Известия» сообщают, что замминистра связи Алексей Соколов заявил о готовности Минкомсвязи организовать программу Bug Bounty и привлечь сторонних исследователей для поиска уязвимостей в программных продуктах, внесенных в реестр отечественного ПО.

«Мы прорабатываем возможность использования этого международного принципа [bug bounty] как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП  и иных критически важных инфраструктурах», — пояснил Соколов.

За последние несколько лет программы Bug Bounty, как собственные, так и управляемые через специальные платформы, запустили многие крупные компании. В России подобные инициативы имеются у Mail.Ru Group и «ВКонтакте» — обе компании пользуются платформой HackerOne. Сумма премий варьируется от нескольких сотен до нескольких тысяч долларов. Например, недавно итоги своей программы подвела соцсеть «ВКонтакте», выплатившая за год в общей сложности $70,8 тыс.

В данный момент, как подтвердили в пресс-службе Минкомсвязи, возможность запуска Bug Bounty обсуждается с министерством и отраслевыми экспертами, в том числе разработчиками, частными и государственными компаниями и ассоциациями. По заявлению пресс-службы, расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются.

К примеру, в США ведомства также рассматривают возможность привлечения белых хакеров к тестированию устойчивости ИТ-систем учреждений к взломам. Так, в апреле Пентагон объявил о начале программы Hack the Pentagon.

Ранее глава Минкомсвязи Николай Никифоров направлял государственным и муниципальным учреждениям письмо, в котором коснулся соблюдения требований по защите информации при применении реестра российского ПО. Как подчеркнул министр, при внедрении ПО на предприятиях государственным и муниципальным заказчикам необходимо самостоятельно определять требования к защите информации.

По мнению директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, российские разработчики ПО традиционно халатно относились к качеству кода. Но как только дыры в безопасности привели к всплеску хакерских атак на банковский сектор и вылились в миллиардные убытки, регуляторы обратили внимание на проблемы информационной безопасности.

По мнению эксперта, процесс импортозамещения призван мотивировать разработчиков соблюдать требования к безопасности, чтобы их продукты оставались в реестре отечественного ПО. Среди таких требований может быть и обязанность работать с уязвимостями по модели bug bounty.

Из-за ряда технических и организационных сложностей собственные программы Bug Bounty доступны только у крупных компаний-разработчиков. В этой ситуации оптимальным выходом может стать использование специализированных платформ вроде HackerOne, имеющих уже налаженные процессы и инфраструктуру.