Минкомсвязи привлечет хакеров для поиска «дыр» в российском софте

Минкомсвязи привлечет хакеров для поиска «дыр» в российском софте

Для поиска уязвимостей в софте, внесенном в реестр отечественного программного обеспечения, Минкомсвязи хочет привлечь хакеров через специальные программы bug bounty. Об этом «Известиям» рассказал замминистра связи Алексей Соколов.

Как правило, на сайтах, работающих по программе bug bounty, компании-разработчики выкладывают информацию о том, за какие найденные уязвимости сколько денег они готовы заплатить. Так называемые белые хакеры проверяют софт или сайты на разные уязвимости, и если находят, то через специальную форму рассказывают о том, что это за уязвимость, и описывают порядок действий, которые нужно проделать разработчику, чтобы ее воспроизвести. Если информация подтверждается, то хакеру выплачивается вознаграждение, пишет izvestia.ru.

Системы поиска уязвимостей bug bounty пользуются большой популярностью среди российских IT-компаний. Например, ряд сервисов Mail.Ru Group и соцсеть «ВКонтакте» используют популярную международную систему HackerOne. Сумма выплачиваемых вознаграждений имеет весьма большой диапазон — от сотен долларов до нескольких тысяч в зависимости от найденной уязвимости. 

"Одним из перспективных направлений деятельности государства в области информационной безопасности должна стать координация разработки рекомендаций в сфере безопасности и регламентов тестирования методов реагирования на киберугрозы, в том числе с возможностью внедрения программ поиска уязвимостей bug bounty, — заявил Соколов. — Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП (автоматизированная система управления технологическим процессом. — «Известия») и иных критически важных инфраструктурах". 

В пресс-службе Минкомсвязи пояснили, что возможность применения этого принципа обсуждается министерством с отраслевым сообществом.

"Это и разработчики ПО, и их отраслевые ассоциации. Инициатива также поддерживается рядом крупных компаний с государственным участием и частного сектора, — отмечают в пресс-службе Минкомсвязи. — Использование системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей, по мировому опыту, является эффективной дополнительной мерой по обеспечению информационной безопасности программных продуктов. Расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются".

В марте глава Минкомсвязи Николай Никифоров направлял государственным и муниципальным заказчикам письмо с разъяснением о применении реестра российского ПО в части соблюдения требований по защите информации. В нем говорилось о том, что при внедрении государственных информационных систем государственным и муниципальным заказчикам необходимо самостоятельно принять решения по установлению требований по защите информации. 

"Основная проблема заключается в том, что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода, — говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. — Ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях ситуация остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО. Например, если у разработчиков среди прочих требований появится обязанность демонстрировать качество своих разработок с помощью таких вот программ bug bounty".

Проведение программы bug bounty связано с определенными техническими и организационными трудностями. Например, разработчик не всегда может выложить дистрибутив программы для исследования: нужно создавать физические или виртуальные стенды и регулировать доступ к ним. 

"Кроме того, необходимо как-то оценивать результаты, так как сообщения об уязвимостях не всегда достоверны, а некоторые достоверные сообщения об уязвимостях разработчик не может воспроизвести из-за отсутствия нужной квалификации у своих специалистов, — говорит Кузнецов. — Таких сложностей достаточно много, и проведение программ bug bounty сегодня является прерогативой крупных компаний-разработчиков. Ситуацию можно изменить, если объединить усилия крупных заинтересованных потребителей, например тех же банков, естественных монополий, а также самих разработчиков, других заинтересованных лиц, и создать единую площадку для проведения таких исследований". 

По словам главы компании ALT Linux Алексея Смирнова, реестр отечественного ПО был создан для того, чтобы был простой способ отличить отечественный софт от неотечественного, но нахождение в реестре не говорит о качестве программного кода. 

"В реестре есть программы, предназначенные не только для органов власти. Например, там есть учебная программа для школ «География, 7-й класс», и проверять ее через подобные системы было бы нелепо, — говорит Смирнов. — Если софт должен иметь определенную степень защиты, то это должно быть указано при закупках". 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Участники CyberCamp рассказали, как киберучения помогли им в реальной жизни

С 20 по 25 октября пройдёт четвёртый по счёту онлайн-кэмп CyberCamp — одно из крупнейших практических событий в сфере кибербезопасности. В этом году основная тема — киберустойчивость: участники будут учиться не только защищать инфраструктуру, но и быстро восстанавливать работу систем после атак.

За шесть дней кэмпа более тысячи специалистов из сотен ИБ-команд будут разбирать реальные сценарии кибератак и способов реагирования на них.

В программе — десятки докладов, практические задания, командные учения и круглые столы. Спикерами выступят эксперты из ведущих российских компаний — от разработчиков решений в области ИБ до представителей крупных ИТ-структур.

Организаторы отмечают, что особенность CyberCamp — приближённость заданий к реальной практике. Участники работают в условиях, близких к тем, что бывают при настоящих инцидентах: анализируют подозрительный трафик, ищут точки проникновения, устраняют последствия атак и восстанавливают системы.

«Сценарии моделировали атаки на веб-приложения, проникновение во внутреннюю сеть, расследование инцидента, реагирование и восстановление. Всё это максимально похоже на реальные ситуации, когда нужно действовать быстро и без полной информации», — вспоминает Артём Серов, участник корпоративной лиги CyberCamp от компании Nordgold.

Для многих участников участие в кэмпе становится не только профессиональным, но и личным испытанием.

«Я участвовал ради азарта — поработать в условиях ограниченного времени и высокой концентрации. Это отличный способ встряхнуться, выйти из рутины и проверить себя», — рассказывает Максим Митрохин из Т1-Иннотех.

При этом CyberCamp остаётся открытым и для новичков. Здесь можно получить базовые практические навыки, познакомиться с инструментами и попробовать себя в роли аналитика по безопасности.

«На CyberCamp я впервые поработал с Wireshark, и потом эти знания пригодились на работе. Задания были максимально приближены к реальности: нужно было понять, как произошёл взлом и какие данные утекли. Главное — не бояться пробовать новое», — говорит студент МИФИ Данил Антипов.

Похожий опыт у студента ВШЭ Артёма Глазыринa:

«Кэмп дал мне навыки анализа логов и работы с SIEM-системами. Эти знания я потом использовал на стажировке. Но главное даже не победа, а опыт и атмосфера — они реально помогают в развитии карьеры».

CyberCamp воспринимается участниками не просто как соревнование, а как площадка, где можно проверить свои знания, получить обратную связь и обменяться опытом с профессионалами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru