Власти заплатят хакерам 800 млн рублей за найденные IT-уязвимости до 2021 года. Об этом сообщают «Ведомости» со ссылкой на план мероприятий по информационной безопасности Программы цифровой экономики. Поиск должен начаться в апреле этого года. Исполнителем работ стал Центр компетенций по импортозамещению в сфере ИКТ.
По словам директора центра Ильи Массуха, тестироваться будут российские государственные IT-системы, продукты российских и иностранных вендоров. По первой модели тестирования будет конкретный заказчик поиска, который предложит доступ к своей системе. Вторая модель предполагает поиск уязвимостей без уведомления разработчика системы (имеются в виду рыночные IT-платформы, операционные системы и системы управления базами данных). Средства между двумя моделями распределят в пропорции примерно 75 на 25.
Тестированием смогут заняться как физические лица, так и компании. Однако тесты, которые потребуют доступа к инфраструктуре систем, будут доступны только компаниям. Уязвимости после устранения будут публиковаться или сохраняться втайне от всех, кроме вендора или владельца IT-системы, также по словам Массуха.
Поиском уязвимостей давно занимаются такие компании, как, например, «Яндекс» и Mail.ru Group. Первая компания в среднем платит исследователю до 170 000 рублей, но для серьезных уязвимостей использует индивидуальный подход. А бонусы MRG за найденные уязвимости достигают $15 000. В мае 2016 года Минкомсвязи решило открыть программы bug bounty для поиска уязвимостей в отечественном ПО и «критически важных инфраструктурах».
Добавить 4 комментария
>>Власти заплатят хакерам 800 млн рублей за найденные IT-уязвимости до 2021 года.
Нужно платить не только за IT уязвимости, но и вообще за глупости и уязвимости и изъязвлёзность в других сферах тоже. Кстати, у хакеров в трудовой так и написано «хакер»? А где на хакеров учат?
>но и вообще за глупости и уязвимости и изъязвлёзность в других сферах тоже.
Отличная идея, вот прям без шуток, мало того что будет много желающих искать косяки ради улучшения всей системы за конкретное вознаграждение (а не как провальный ради политического капитала), так еще и любая найденная уязвимость подлежит исправлению, в этом была бы главная сила идеи.
Но похоже это все получится сделать только в новом Алгоритмическом Государстве, до которого мы обязательно дойдем рано или поздно…
При чем дело не в том что злые и корыстные чиновники (таких и вправду большая часть) не будут исправлять найденные ошибки в государственной системе, скорее дело в том что найденную уязвимость в организации государства очень трудно будет доказать, все относительно же, хакер же доказывает найденную уязвимость в коде на 100% просто продемонстрировав ее в деле.
В Алгоритмическом Государстве хакеры смогут искать уязвимости и ошибки и разумеется 100%-но их доказывать, что сделает не возможность спускание на тормозах или игнорирование.
Это очень наглядно показывает недавно найденная уязвимость в процессорах intel, примерное ее описание было известно очень давно, но никто не мог доказать ее существование и соответственно никто и не устранял эту уязвимость (преследуя корыстные цели или прочто по глупости, это не важно), зато как ее продемонстрировали наглядно, то сразу проблему признали и начали делать закладки различные производители операционных систем.
Где записаться в тестеры? Или опять как обычно «Исполнителем работ стал», постойте ка, расходимся это не про нас.