Для поиска уязвимостей в софте, внесенном в реестр отечественного программного обеспечения, Министерство связи и массовых коммуникаций РФ хочет привлечь хакеров через специальные программы bug bounty, пишут «Известия» со ссылкой на заместителя министра связи Алексея Соколова.
По словам Соколова, одним из перспективных направлений деятельности государства в области информационной безопасности должна стать координация разработки рекомендаций в сфере безопасности и регламентов тестирования методов реагирования на киберугрозы, в том числе с возможностью внедрения программ поиска уязвимостей bug bounty. Порабатывается возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в автоматизированных системах управления технологическим процессом и иных критически важных инфраструктурах.
Как правило, на сайтах, работающих по программе bug bounty, компании-разработчики выкладывают информацию о том, за какие найденные уязвимости сколько денег они готовы заплатить. «Белые хакеры» проверяют софт или сайты на разные уязвимости, и если находят, то через специальную форму рассказывают о том, что это за уязвимость, и описывают порядок действий, которые нужно проделать разработчику, чтобы ее воспроизвести. Если информация подтверждается, то хакеру выплачивается вознаграждение.
В пресс-службе Минкомсвязи пояснили, что возможность применения этого принципа обсуждается министерством с отраслевым сообществом.