Владимир Дащенко, руководитель группы исследования уязвимостей индустриальных систем «Лаборатории Касперского», рассказывает о том, как bug bounty — программы поиска ошибок и уязвимостей в ПО за вознаграждение — набирают всё большую популярность в мире IT. Подобная практика является выгодной для бизнеса, так как помогает обнаруживать и устранять проблемы до того, как они приведут к значительным убыткам — и поощряет исследователей к новым поискам. Однако для поставщиков промышленного оборудования такие программы пока ещё в новинку.
Эксперт считает, что разработчикам промышленных систем стоит перенять эту методику. Хорошим стартом может стать организация «приватных bug bounty», в которых поиском уязвимостей будут заниматься ответственные и опытные специалисты из нескольких внешних компаний, зарекомендовавших себя в исследованиях безопасности индустриальных систем. При этом он подчеркнул, что для снижения издержек разработчикам предварительно следует сделать «домашнее задание» — самостоятельно проверив свои продукты на возможные ошибки и наладив процесс безопасной разработки.
В интервью BIS TV Владимир Дащенко также поделился несколькими любопытными случаями из своей практики, когда клиенты неожиданным образом реагировали на обнаруженные уязвимости.
Смотрите другие сюжеты с международной конференции о кибербезопасности промышленных систем и устройств Kaspersky Industrial Cybersecurity Conference 2019, которая прошла 18-20 сентября 2019 в Сочи: узнайте, как обстоят дела с безопасностью промышленных предприятий, что угрожает заводам и электростанциям, и как бизнес и государство по всему миру пытаются повлиять на ситуацию.
Обзор конференции смотрите на BIS TV:
Обзор мероприятия — KICS con 2019
Больше информации о мероприятии, а также презентации — на официальном сайте конференции.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
