Перейти к материалам
Я хочу поддержать «Медузу»

Российские власти заплатят 500 миллионов рублей за поиск уязвимостей в IT-системах

Источник: Ведомости

Российские власти намерены привлечь исследователей к поиску уязвимостей в IT-системах, в том числе государственных.

Об этом, пишут «Ведомости», говорится в утвержденном правительством плане мероприятий по информационной безопасности в рамках программы цифровой экономики.

На поиск уязвимостей до конца 2020 года планируется выделить 800 миллионов рублей, в том числе 500 миллионов рублей из бюджета.

Отвечать за поиск уязвимостей, начать который планируется в апреле, будет Центр компетенций по импортозамещению в сфере информационно-компьютерных технологий.

Предполагается два вида проверок — с предварительным уведомлением разработчика системы и без него. Проводить тестирование разрешат и физическим лицам, и компаниям. При этом к части проверок, требующих доступа к инфраструктуре систем, допустят только компании.

Информацию об обнаруженных уязвимостях могут как публиковать в широком доступе (после их устранения), так и сохранять в тайне от всех, кроме разработчика систем, заявил глава центра Илья Массух.

Эксперты, опрошенные изданием, не исключили, что найденные уязвимости могут как-либо использоваться в государственных целях.

Вполне вероятно, что обнаруженным уязвимостям найдут какое-то тайное применение, предполагает собеседник «Ведомостей», занимающийся заказными исследованиями безопасности. С ним соглашается другой эксперт по безопасности: качественных уязвимостей мало, каждая из них на вес золота и поэтому высока вероятность, что о них никто не узнает, кроме спецслужб.

Ведомости

Центр компетенций по импортозамещению в сфере информационно-компьютерных технологий (ИКТ) был создан в 2016 году по поручения президента РФ Владимира Путина. Основной задачей центра был заявлен «мониторинг закупок госорганов и госкомпаний на предмет использования отечественного ПО и аппаратного обеспечения».

Собственные программы поиска уязвимостей, предполагающие вознаграждение для участников, есть у всех крупных международных интернет-компаний, включая Google, Facebook и Apple. Также существует и «черный рынок» поиска уязвимостей, объем которого оценивается в десятки миллионов долларов.