Внедрение программ поиска уязвимостей bug bounty планируется для тестирования продуктов, внесенных в реестр отечественного ПО. Для поиска уязвимостей в софте, внесенном в реестр отечественного программного обеспечения, Минкомсвязи хочет привлечь хакеров через специальные программы bug bounty. Об этом «Известиям» рассказал замминистра связи Алексей Соколов. — Одним из перспективных направлений деятельности государства в области информационной безопасности должна стать координация разработки рекомендаций в сфере безопасности и регламентов тестирования методов реагирования на киберугрозы, в том числе с возможностью внедрения программ (термин, в переводе означающий «предписание», то есть предварительное описание предстоящих событий или действий) поиска уязвимостей bug bounty. — Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, например, в АСУ ТП (автоматизированная система управления технологическим процессом. — «Известия») и иных критически важных инфраструктурах. Работающих по программе bug bounty, компании-разработчики выкладывают информацию о том, за какие найденные уязвимости сколько денег они готовы заплатить. Так называемые белые хакеры проверяют софт или сайты на разные уязвимости, то через специальную форму рассказывают о том, что это за уязвимость, которые нужно проделать разработчику. Если информация подтверждается. Системы поиска уязвимостей bug bounty пользуются большой популярностью среди российских IT-компаний. Например. Ru Group и соцсеть «ВКонтакте» используют популярную международную систему HackerOne. Сумма выплачиваемых вознаграждений имеет весьма большой диапазон — от сотен долларов до нескольких тысяч в зависимости от найденной уязвимости. В пресс-службе Минкомсвязи пояснили, что возможность применения этого принципа обсуждается министерством с отраслевым сообществом. — Это и разработчики ПО. Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора, — отмечают в пресс-службе Минкомсвязи. — Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов. Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются. В марте глава Минкомсвязи (связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) — федеральный орган исполнительной власти в ведении Правительства Российской Федерации (c 2008)) Николай Никифоров направлял государственным и муниципальным заказчикам письмо с разъяснением о применении реестра (Реестр — форма систематизации, учёта; список, перечень, опись, система) российского ПО в части соблюдения требований по защите информации. В нем говорилось о том, что при внедрении государственных информационных систем государственным и муниципальным заказчикам необходимо самостоятельно принять решения по установлению требований по защите информации. Что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода, — говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. — Ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях ситуация остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО. Например, если у разработчиков (-конструктор — инженерная специальность, чья деятельность (работа) необходима для разработки и создания конечного (целевого) продукта из продуктов и ресурсов существующего материального производства) среди прочих требований появится обязанность демонстрировать качество своих разработок с помощью таких вот программ bug bounty. Проведение программы bug bounty связано с определенными техническими и организационными трудностями. Например, разработчик не всегда может выложить дистрибутив программы для исследования: нужно создавать физические или виртуальные стенды и регулировать доступ к ним. Так как сообщения об уязвимостях (параметр, характеризующий возможность нанесения описываемой системе повреждений любой природы теми или иными внешними средствами или факторами) не всегда достоверны, а некоторые достоверные сообщения об уязвимостях разработчик не может воспроизвести из-за отсутствия нужной квалификации у своих специалистов, — говорит Кузнецов. — Таких сложностей достаточно много, и проведение программ bug bounty сегодня является прерогативой крупных компаний-разработчиков. Ситуацию можно изменить, если объединить усилия крупных заинтересованных потребителей, например тех же банков, а также самих разработчиков, других заинтересованных лиц, и создать единую площадку для проведения таких исследований. По словам главы компании ALT Linux Алексея Смирнова, реестр отечественного ПО был создан для того, чтобы был простой способ отличить отечественный софт от неотечественного, но нахождение в реестре не говорит о качестве программного кода. — В реестре есть программы. Например, там есть учебная программа для школ «География, и проверять ее через подобные системы (множество элементов, находящихся в отношениях и связях друг с другом, которое образует определённую целостность, единство) было бы нелепо, — говорит Смирнов. — Если софт должен иметь определенную степень защиты.  . Источник: izvestia.ru.