Минкомсвязи привлечет хакеров для поиска «дыр» в российском софте

26.05.2016 |

Александр Абрамов.

Минкомсвязи предлагает использовать зарубежный опыт при проверке отечественного ПО на наличие ошибок и уязвимостей. Независимые специалисты и хакеры будут исследовать российский софт и за деньги предоставлять разработчикам отчеты о выявленных багах.

Минкомсвязи обсуждает возможность использования системы bug bounty для поиска уязвимостей в национальном ПО. Данная программа подразумевает, что «белые хакеры» будут проверять российские программные продукты на наличие недоработок и багов и отправлять свои отчеты разработчикам в обмен на некоторое денежное вознаграждение.

Поводом для появления такого предложения стало преимущественно низкое качество приложений, внесенных в реестр российского ПО. В рамках программы импортозамещения данный реестр с большой скоростью пополняется продуктами, которые по своим задачам дублируют зарубежные аналоги, но не могут сравниться с ними по качеству.

«Сырое» и ненадежное ПО уже стало причиной большого ущерба в банковских системах, поэтому софт для данной сферы на сегодняшний день пишется по-другому. Он уже готов обеспечить финансовым компаниям требуемую степень защиты, чего нельзя сказать об остальных сферах деятельности.

Система bug bounty отлично работает как в других странах, так и в некоторых частных российских компаниях. Так, например, ищутся уязвимости в популярной социальной сети «ВКонтакте» и некоторых других принадлежащих Mail.Ru Group проектах.

Проверка отечественных разработок независимыми экспертами позволит разработчикам получать качественные отчеты об ошибках и своевременно исправлять недочеты, однако использование программы bug bounty подразумевает выделение немалых средств для выплаты вознаграждений участникам, а также финансирование рабочей группы, которой потребуется поручить проверку качества работы хакеров.

В правительстве отметили, что в госбюджете денег на финансирование указанных мероприятий нет и не будет, поэтому выделять деньги и заниматься оценкой результатов хакерских отчетов предлагается заинтересованным структурам – например, банкам и самим разработчикам.

Если система bug bounty будет успешно внедрена, в закон могут внести поправки, не позволяющие разработчикам претендовать на внесение их программных продуктов в реестр отечественного ПО, если они не участвуют в таких проверках.