Российские власти заплатят 500 миллионов рублей за поиск уязвимостей в IT-системах
Российские власти намерены привлечь исследователей к поиску уязвимостей в IT-системах, в том числе государственных.
Об этом, пишут «Ведомости», говорится в утвержденном правительством плане мероприятий по информационной безопасности в рамках программы цифровой экономики.
На поиск уязвимостей до конца 2020 года планируется выделить 800 миллионов рублей, в том числе 500 миллионов рублей из бюджета.
Отвечать за поиск уязвимостей, начать который планируется в апреле, будет Центр компетенций по импортозамещению в сфере информационно-компьютерных технологий.
Предполагается два вида проверок — с предварительным уведомлением разработчика системы и без него. Проводить тестирование разрешат и физическим лицам, и компаниям. При этом к части проверок, требующих доступа к инфраструктуре систем, допустят только компании.
Информацию об обнаруженных уязвимостях могут как публиковать в широком доступе (после их устранения), так и сохранять в тайне от всех, кроме разработчика систем, заявил глава центра Илья Массух.
Эксперты, опрошенные изданием, не исключили, что найденные уязвимости могут как-либо использоваться в государственных целях.
Вполне вероятно, что обнаруженным уязвимостям найдут какое-то тайное применение, предполагает собеседник «Ведомостей», занимающийся заказными исследованиями безопасности. С ним соглашается другой эксперт по безопасности: качественных уязвимостей мало, каждая из них на вес золота и поэтому высока вероятность, что о них никто не узнает, кроме спецслужб.
Центр компетенций по импортозамещению в сфере информационно-компьютерных технологий (ИКТ) был создан в 2016 году по поручения президента РФ Владимира Путина. Основной задачей центра был заявлен «мониторинг закупок госорганов и госкомпаний на предмет использования отечественного ПО и аппаратного обеспечения».
Собственные программы поиска уязвимостей, предполагающие вознаграждение для участников, есть у всех крупных международных интернет-компаний, включая Google, Facebook и Apple. Также существует и «черный рынок» поиска уязвимостей, объем которого оценивается в десятки миллионов долларов.