Государство пригласит исследователей поискать уязвимости в IT-системах. Это следует из плана мероприятий по информационной безопасности Программы цифровой экономики. Для этого уже выделен и бюджет: до конца 2020 г. на денежные премии и призы за найденные уязвимости по плану отводится 500 млн руб. из бюджета и 300 млн руб. внебюджетных средств, а начаться охота должна в апреле 2018 г., следует из документа. Ответственными названы Минкомсвязи, ФСБ и ФСТЭК, исполнителем – Центр компетенций по импортозамещению в сфере ИКТ.
Тестировать будут российские государственные IT-системы IT-продукты вендоров – как российских, так и зарубежных. Предполагается две модели тестирования. По первой модели будет явный заказчик поиска уязвимости, который предложит свою систему для теста и может дать к ней доступ, рассказывает Массух. Во втором случае тестирование будет производиться без уведомления разработчика системы – например, когда речь идет о рыночных IT-платформах, операционных системах, системах управления базами данных, продолжает Массух. Средства между этими двумя моделями будут распределяться в пропорции примерно 75 на 25.
Участвовать в тестировании смогут как физические лица, так и компании – но не во всех случаях. Часть тестов будет доступна лишь для компаний, поскольку эти тесты могут потребовать доступа к инфраструктуре систем. Остальное тестирование, особенно систем, доступных массовому пользователю, будет открыто для всех.
В зависимости от характера найденных уязвимостей они могут либо публиковаться (после того, как будут устранены), либо сохраняться втайне от всех, кроме вендора или владельца IT-системы.
.png)