Министерство собирается открыть программу Bug Bounty для поиска уязвимостей в отечественном софте
Минкомсвязи РФ собирается перенять стандартный опыт западных компаний и запустить программу выплаты вознаграждений за найденные уязвимости. Хакерам оплатят поиск багов в программном обеспечении, которое входит в реестре отечественного ПО, и не только.
«Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП (автоматизированная система управления технологическим процессом) и иных критически важных инфраструктурах», — сказал замминистра связи Алексей Соколов в комментарии газете «Известия».
Окончательное решение по Bug Bounty и сумма вознаграждений пока не определены. Но ясно, что премии будут выплачивать в российских рублях.
Из госбюджета хакерам не дадут ни копейки. Минкомсвязи будет только координировать программу, а финансирование выделят крупные коммерческие компании.
«Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора, — сообщили в пресс-службе Минкомсвязи. — Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов. Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются».
Сейчас Минкомсвязи обсуждает идею с сообществом. Уже есть первые замечания. Например, главы компании ALT Linux Алексея Смирнов отметил, что в реестре отечественного ПО есть софт вроде школьной программы «География, 7-й класс», и «проверять её через подобные системы было бы нелепо». То есть нужно указывать, какую степень защиты должна иметь каждая программа.
Вообще, в России сложилась парадоксальная ситуация. Здесь самые лучшие в мире хакеры, здесь создают самые профессиональные и сложные хакерские инструменты (что признают даже в ФБР), но при этом здесь исключительно низкое качество коммерческих программ. Программы импортозамещения могут только усугубить ситуацию, ведь для российских компаний ослабляется конкуренция и пропадает стимул создавать более качественный продукт.
«Основная проблема заключается в том, что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода, — говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. — Ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях ситуация остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО».
Комментарии (40)
MaximChistov
26.05.2016 10:39+1>Здесь самые лучшие в мире хакеры, здесь создают самые профессиональные и сложные хакерские инструменты (что признают даже в ФБР), но при этом здесь исключительно низкое качество коммерческих программ.
Так это потому что тем, кто делает качественный софт, выгоднее продать его клиентам за рубежом :)
ertaquo
26.05.2016 11:44Заплатит отдельной комнатой, с бесплатным питанием и проживанием, но ограниченной областью передвижений?
scvorec3
26.05.2016 12:01+2Чувствую, что хакеры не дураки и наш софт окажется самый неуязвимым в мире
servermen
26.05.2016 12:02-2С большой вероятностью можно предположить, что родственники чиновников и будут получать откаты по этой программе.
Минкомсвязи РФ собирается перенять стандартный опыт западных компаний
А Минкомсвязи это, что такая коммерческая компания?MaximChistov
26.05.2016 12:12>С большой вероятностью можно предположить, что родственники чиновников и будут получать откаты по этой программе.
Учитывая, как сейчас принято делать тендеры под конкретную компанию, будут скорее всего специально внедрять «уязвимости» под конкретного «баг-хантера»servermen
28.05.2016 10:16Забыл я тут ссылку на эту тему дать, про сына Матвиенко (Валентины): http://tinkov.com/bizsekrety/89.
Finder15
26.05.2016 13:41Мне не очень понятна роль Минсвязи в этом процессе. Ибо, сначала вроде «Минкомсвязи РФ собирается перенять стандартный опыт западных компаний и запустить программу выплаты вознаграждений за найденные уязвимости. », но потом плавно переходим к «Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются»». написано про какую-то координацию, но в чем она будет заключаться тоже непонятно. Что мешало самим компаниям запустить эту программу раньше без «ценных указаний» МКС? ИМХО, очередное сотрясание воздуха «ниачем», лишь бы напомнить о себе.
Runis
26.05.2016 14:45Я сильно удивлюсь, если не создадут очередной реестр, но уже для хакеров, и будут их туда заносить, кого блокировать, а кого пропускать в широкие- широкие стены.
Vergileey
26.05.2016 18:44У меня такая же первая мысль возникла. Вознаграждение порядка 10 тысяч рублей и при получении твои данные заносят в специальный реестр хакеров.
Если конечно вознаграждение вообще будет.Runis
26.05.2016 20:07Может быть и двойная схема мнимого вознаграждения, где тебя хотят наградить, а на деле вылавливают.
jehy
26.05.2016 16:29Судя по соседнему топику — нет, уязвимости по прежнему никого не интересуют. А громкие слова карман не тянут.
OnelaW
26.05.2016 17:40А напомните мне уважаемые, какое ПО массово распространено в разных ведомствах? Особенно Российское.
Или за счет налогоплательщиков армия кулхацкеров будет прогонять код меил агента и желтой программы через статические анализаторы?
И как выше написали за прогон кода от 3 до 10?
andrey_aksamentov
27.05.2016 07:30Как вынужденный пользователь нескольких российских разработок, могу утверждать что баги сами тебя находят…
LexVain
27.05.2016 10:14Главное чтоб не получилось так: государство выделило бюджет, устроило тендер, тендер выиграла «name» организация, она в свою очередь наняла в субподрядчики организацию «name1», а «name1» наняла «name2» и т.д., что премия за багу размазалась и тому кто ее найдет придет не 1000$, а 1000р.
andrey_aksamentov
27.05.2016 15:12Хакеры народ умный, пока не проверят дел иметь не будут. Да и инфа о кидалове разлетится быстро.
wigneddoom
28.05.2016 01:21>что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода
Да конечно, это они ещё код ведущих мировых производителей встраиваемых решений не видели.
Deverex
28.05.2016 02:11Выглядит как премия за самоличную доставку пакета наркоты в полицейский участок.
Как дети малые, честное слово.
g000phy
Всероссийская перепись хакеров. И искать не надо
DarknightAngel
Да да. А вознаграждение будут приносить сотрудники отдела К