|
Минцифры собирается провести еще одну программу Bug Bounty.
Министерство цифрового развития, связи и массовых коммуникаций собирается провести еще одну программу багбаунти, задействовав не только Госуслуги, но и несколько собственных сервисов. Ими могут стать Единая биометрическая система (ЕБС) и Единая система идентификации и аутентификации (ЕСИА).
Сообщается, что платформу для поиска уязвимостей предоставят Positive Technologies и BI.Zone. При этом увеличится срок программы: если первый проект занял 3 месяца, то новая волна планируется на год. Выплата «белым» хакерам за найденную уязвимость может достичь 1 млн рублей,
в зависимости от серьезности найденной проблемы.
Напомним, что итогом первой волны стало обнаружение 34 серьезных уязвимостей, а также участие 8,4 тысяч ИТ-специалистов. При этом размер выплаты варьировался от 10 до 350 тыс. рублей.
«Белые» хакеры давно зарекомендовали себя как инструмент эффективного тестирования устойчивости объектов информационной инфраструктуры, считает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «Практики багбаунти получили большое признание в мире и стали частью архитектуры безопасности как частного, так и государственного сектора. Преимущество такой системы в том, что организация допускает в свою информационную систему фактически независимого эксперта. К сожалению, когда работники погружаются в систему информационной безопасности конкретной организации и развивают ее, возможность взгляда со стороны исчезает, ввиду чего могут упускаться очевидные вещи, которые не упустит квалифицированный независимый эксперт, устроив настоящий краш-тест системе. При этом полноценная институционализация рынка «белых» хакеров положительно сказывается на снижении доли нелегальных хакеров, часто занимающихся противозаконной деятельностью», – пояснил Немкин.
В настоящий момент деятельность «белых» хакеров не урегулирована на законодательном уровне, напомнил депутат. «Действующее законодательство препятствует развитию направления в России, поэтому не так давно мы внесли законопроект, призванный легализовать багбаунти
в России. Предлагается внести поправки в УК РФ, ГК РФ, а также
в федеральный закон «Об информации, информационных технологиях
и о защите информации». Я бы сказал, что это фундаментальный шаг, который позволит дать полноценный старт развитию направления. Нужно, понимать, что в современных условиях мы должны реагировать не на случившиеся инциденты, а действовать превентивно и предупреждать их. Работа по защите цифрового контура должна быть непрерывной и «белые» хакеры один из инструментов достижения такой непрерывности», – считает эксперт.
Минцифры в этом случае – один из драйверов развития программы, считает Немкин. «Как правило, такие проекты реализуются частным сектором, поэтому опыт ведомства здесь показателен и совершенно точно должен перениматься остальными органами власти. Ряд экспертов указывают на то, что программа не найдет в России устойчивое продолжение из-за отсутствия финансовых и технических ресурсов, а также из-за дефицита кадров. Возможно, подобные рассуждения имеют место быть. Однако мы до конца не знаем сколько специалистов задействовано в нелегальном секторе и сколько потенциально мы можем перетянуть на «белую» сторону. Кроме того, в случае подтверждения эффективности инструмента как госсектор,
так и корпоративный сектор могут диверсифицировать свои расходы на защиту и отказаться от менее эффективных действий. Главное сейчас – установить благоприятную институциональную среду и популяризировать направление», – заключил парламентарий.
Пресс-служба депутата ГосДумы РФ Антона Немкина
| 