26.05.2016 07:23
alizar 40 7800 Источник

Министерство собирается открыть программу Bug Bounty для поиска уязвимостей в отечественном софте


Минкомсвязи РФ собирается перенять стандартный опыт западных компаний и запустить программу выплаты вознаграждений за найденные уязвимости. Хакерам оплатят поиск багов в программном обеспечении, которое входит в реестре отечественного ПО, и не только.

«Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП (автоматизированная система управления технологическим процессом) и иных критически важных инфраструктурах», — сказал замминистра связи Алексей Соколов в комментарии газете «Известия».

Окончательное решение по Bug Bounty и сумма вознаграждений пока не определены. Но ясно, что премии будут выплачивать в российских рублях.

Из госбюджета хакерам не дадут ни копейки. Минкомсвязи будет только координировать программу, а финансирование выделят крупные коммерческие компании.

«Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора, — сообщили в пресс-службе Минкомсвязи. — Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов. Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются».

Сейчас Минкомсвязи обсуждает идею с сообществом. Уже есть первые замечания. Например, главы компании ALT Linux Алексея Смирнов отметил, что в реестре отечественного ПО есть софт вроде школьной программы «География, 7-й класс», и «проверять её через подобные системы было бы нелепо». То есть нужно указывать, какую степень защиты должна иметь каждая программа.

Вообще, в России сложилась парадоксальная ситуация. Здесь самые лучшие в мире хакеры, здесь создают самые профессиональные и сложные хакерские инструменты (что признают даже в ФБР), но при этом здесь исключительно низкое качество коммерческих программ. Программы импортозамещения могут только усугубить ситуацию, ведь для российских компаний ослабляется конкуренция и пропадает стимул создавать более качественный продукт.

«Основная проблема заключается в том, что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода, — говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. — Ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях ситуация остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО».
Поделиться с друзьями
-->

Комментарии (40)


  1. g000phy
    26.05.2016 10:37
    #9304476
    +1

    Всероссийская перепись хакеров. И искать не надо


    1. DarknightAngel
      26.05.2016 13:10
      #9305100

      Да да. А вознаграждение будут приносить сотрудники отдела К


  1. imbeat
    26.05.2016 10:38
    #9304482
    +1

    Золотое дно!


  1. MaximChistov
    26.05.2016 10:39
    #9304484
    +1

    >Здесь самые лучшие в мире хакеры, здесь создают самые профессиональные и сложные хакерские инструменты (что признают даже в ФБР), но при этом здесь исключительно низкое качество коммерческих программ.

    Так это потому что тем, кто делает качественный софт, выгоднее продать его клиентам за рубежом :)


  1. Loki3000
    26.05.2016 10:41
    #9304486
    +15

    Как я понимаю, по сложившейся традиции, будут присуждаться награды в 3, 5 и 8 лет?


    1. nerudo
      26.05.2016 10:51
      #9304524

      Это аванс, награды от 10 начинаются ;)


    1. Aspecter
      26.05.2016 11:03
      #9304596
      +2

      Не деньги же им платить, в самом деле.


    1. FAT16
      26.05.2016 15:34
      #9305644

      Не, как у интел 3,5,7, зато Байкал допилят


  1. runalsh
    26.05.2016 11:03
    #9304598
    +10

    BigBounty по-российски:

    Нашел багу.
    Сообщил.
    Ждёшь премию.
    Возбудили дело.
    Сел в тюрьму и получил штраф.


    1. Runis
      26.05.2016 14:28
      #9305402

      Ещё и конфискацию имущества бонусом могут устроить.


    1. Siper
      26.05.2016 14:44
      #9305462

      Приговор изменили на условный — ура, бигбаунти!


  1. Ridcally
    26.05.2016 11:03
    #9304600
    +8

    первые три места получат денежный приз, остальные — поощрительные путевки в Магадан.


    1. Pakos
      27.05.2016 16:57
      #9308822

      Конкурс на государственный гимн, первое место — 100к рублей, остальные — срок за издевательство над государственным гимном


  1. ertaquo
    26.05.2016 11:44
    #9304794

    Заплатит отдельной комнатой, с бесплатным питанием и проживанием, но ограниченной областью передвижений?


  1. scvorec3
    26.05.2016 12:01
    #9304860
    +2

    Чувствую, что хакеры не дураки и наш софт окажется самый неуязвимым в мире


  1. servermen
    26.05.2016 12:02
    #9304872
    -2

    С большой вероятностью можно предположить, что родственники чиновников и будут получать откаты по этой программе.

    Минкомсвязи РФ собирается перенять стандартный опыт западных компаний

    А Минкомсвязи это, что такая коммерческая компания?


    1. MaximChistov
      26.05.2016 12:12
      #9304926

      >С большой вероятностью можно предположить, что родственники чиновников и будут получать откаты по этой программе.
      Учитывая, как сейчас принято делать тендеры под конкретную компанию, будут скорее всего специально внедрять «уязвимости» под конкретного «баг-хантера»


      1. servermen
        28.05.2016 10:16
        #9310300

        Забыл я тут ссылку на эту тему дать, про сына Матвиенко (Валентины): http://tinkov.com/bizsekrety/89.


  1. z9923NN
    26.05.2016 13:11
    #9305106
    -7

    Не плачьте, господа-госдеповцы, вам платят по другой ведомости ;)


    1. menraen
      26.05.2016 20:44
      #9306374
      +4

      Пшёл вон отсюда!


  1. Finder15
    26.05.2016 13:41
    #9305232

    Мне не очень понятна роль Минсвязи в этом процессе. Ибо, сначала вроде «Минкомсвязи РФ собирается перенять стандартный опыт западных компаний и запустить программу выплаты вознаграждений за найденные уязвимости. », но потом плавно переходим к «Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются»». написано про какую-то координацию, но в чем она будет заключаться тоже непонятно. Что мешало самим компаниям запустить эту программу раньше без «ценных указаний» МКС? ИМХО, очередное сотрясание воздуха «ниачем», лишь бы напомнить о себе.


  1. fahreeve
    26.05.2016 13:44
    #9305246

    Господа, а если серьезно, то будут ли выплачивать суммы в 50 тыс. долларов?


    1. Runis
      26.05.2016 14:44
      #9305464

      Да вы что! У нас??? Только картошкой- только хардкор!))


    1. Siper
      26.05.2016 14:50
      #9305496

      Близким родственников руководителей разработки, внезапно открывшим в себе новый талант.


  1. Runis
    26.05.2016 14:45
    #9305468

    Я сильно удивлюсь, если не создадут очередной реестр, но уже для хакеров, и будут их туда заносить, кого блокировать, а кого пропускать в широкие- широкие стены.


    1. Vergileey
      26.05.2016 18:44
      #9306160

      У меня такая же первая мысль возникла. Вознаграждение порядка 10 тысяч рублей и при получении твои данные заносят в специальный реестр хакеров.
      Если конечно вознаграждение вообще будет.


      1. Runis
        26.05.2016 20:07
        #9306304

        Может быть и двойная схема мнимого вознаграждения, где тебя хотят наградить, а на деле вылавливают.


  1. strlock
    26.05.2016 14:52
    #9305502

    Пусть готовят инкассаторскую машину)


  1. jehy
    26.05.2016 16:29
    #9305798

    Судя по соседнему топику — нет, уязвимости по прежнему никого не интересуют. А громкие слова карман не тянут.


  1. OnelaW
    26.05.2016 17:40
    #9305984

    А напомните мне уважаемые, какое ПО массово распространено в разных ведомствах? Особенно Российское.
    Или за счет налогоплательщиков армия кулхацкеров будет прогонять код меил агента и желтой программы через статические анализаторы?
    И как выше написали за прогон кода от 3 до 10?


  1. LexVain
    26.05.2016 18:48
    #9306180

    Не знаю как вам, а мне бы хотелось видеть русскоязычное название программы.


    1. menraen
      26.05.2016 20:46
      #9306380

      ПРНО (Платная Работа Над Ошибками)


      1. OnelaW
        27.05.2016 12:01
        #9307758

        И будет как ПРоНО


  1. MnogoBukv
    26.05.2016 20:05
    #9306298

    Так уже «заплатит» или только «собирается открыть программу»?


  1. saboteur_kiev
    27.05.2016 00:13
    #9306816

    Вангую новую профессию — недохакер-посредник.


  1. andrey_aksamentov
    27.05.2016 07:30
    #9307146

    Как вынужденный пользователь нескольких российских разработок, могу утверждать что баги сами тебя находят…


  1. LexVain
    27.05.2016 10:14
    #9307450

    Главное чтоб не получилось так: государство выделило бюджет, устроило тендер, тендер выиграла «name» организация, она в свою очередь наняла в субподрядчики организацию «name1», а «name1» наняла «name2» и т.д., что премия за багу размазалась и тому кто ее найдет придет не 1000$, а 1000р.


    1. andrey_aksamentov
      27.05.2016 15:12
      #9308506

      Хакеры народ умный, пока не проверят дел иметь не будут. Да и инфа о кидалове разлетится быстро.


  1. wigneddoom
    28.05.2016 01:21
    #9309968

    >что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода

    Да конечно, это они ещё код ведущих мировых производителей встраиваемых решений не видели.


  1. Deverex
    28.05.2016 02:11
    #9310032

    Выглядит как премия за самоличную доставку пакета наркоты в полицейский участок.
    Как дети малые, честное слово.