Минкомсвязи РФ планирует запустить Bug Bounty

Цель нашей компании - предложение широкого ассортимента услуг на постоянно высоком качестве обслуживания.

Минкомсвязи РФ планирует запустить Bug Bounty
Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге
27 Мая 2016
«Известия» сообщают, что замминистра связи Алексей Соколов заявил о готовности Минкомсвязи организовать программу Bug Bounty и привлечь сторонних исследователей для поиска уязвимостей в программных продуктах, внесенных в реестр отечественного ПО.

«Мы прорабатываем возможность использования этого международного принципа [bug bounty] как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП  и иных критически важных инфраструктурах», — пояснил Соколов.

За последние несколько лет программы Bug Bounty, как собственные, так и управляемые через специальные платформы, запустили многие крупные компании. В России подобные инициативы имеются у Mail.Ru Group и «ВКонтакте» — обе компании пользуются платформой HackerOne. Сумма премий варьируется от нескольких сотен до нескольких тысяч долларов. Например, недавно итоги своей программы подвела соцсеть «ВКонтакте», выплатившая за год в общей сложности $70,8 тыс.

В данный момент, как подтвердили в пресс-службе Минкомсвязи, возможность запуска Bug Bounty обсуждается с министерством и отраслевыми экспертами, в том числе разработчиками, частными и государственными компаниями и ассоциациями. По заявлению пресс-службы, расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются.

К примеру, в США ведомства также рассматривают возможность привлечения белых хакеров к тестированию устойчивости ИТ-систем учреждений к взломам. Так, в апреле Пентагон объявил о начале программы Hack the Pentagon.

Ранее глава Минкомсвязи Николай Никифоров направлял государственным и муниципальным учреждениям письмо, в котором коснулся соблюдения требований по защите информации при применении реестра российского ПО. Как подчеркнул министр, при внедрении ПО на предприятиях государственным и муниципальным заказчикам необходимо самостоятельно определять требования к защите информации.

По мнению директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, российские разработчики ПО традиционно халатно относились к качеству кода. Но как только дыры в безопасности привели к всплеску хакерских атак на банковский сектор и вылились в миллиардные убытки, регуляторы обратили внимание на проблемы информационной безопасности.

По мнению эксперта, процесс импортозамещения призван мотивировать разработчиков соблюдать требования к безопасности, чтобы их продукты оставались в реестре отечественного ПО. Среди таких требований может быть и обязанность работать с уязвимостями по модели bug bounty.

Из-за ряда технических и организационных сложностей собственные программы Bug Bounty доступны только у крупных компаний-разработчиков. В этой ситуации оптимальным выходом может стать использование специализированных платформ вроде HackerOne, имеющих уже налаженные процессы и инфраструктуру.
Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.