Российские власти заплатят хакерам за найденные уязвимости в IT-системах

12 января 2018 года

Правительство РФ одобрило план мероприятий по информационной безопасности программы «Цифровая экономика», который предусматривает выплаты хакерам за найденные уязвимости в различных IT-системах, пишет газета «Ведомости».

Согласно документу, до конца 2020 года на денежные премии и призы за найденные уязвимости планируется выделить 500 млн рублей из бюджета и еще 300 млн рублей внебюджетных средств. Реализация этой части программы должна начаться в апреле этого года. Ответственными за ее выполнение названы Минкомсвязи, ФСБ и ФСТЭК, исполнителем - Центр компетенций по импортозамещению в сфере ИКТ.

Как сообщил директор Центра Илья Массух, программа будет охватывать российские государственные IT-системы и IT-продукты вендоров (как российских, так и зарубежных). При этом в случае с IT-системами речь идет о наличии явного заказчика поиска уязвимости, который предложит хакерам систему для теста и может дать к ней доступ. В случае с другими продуктами тестирование будет производиться без уведомления разработчика системы (например, тестирование рыночных IT-платформ или операционных систем). По словам Массуха, выделенные на вознаграждение хакеров средства между этими двумя моделями будут распределяться в пропорции примерно 75 на 25.

Массух также сообщил, что заниматься поиском уязвимостей смогут и физические лица, и компании, но проверять некоторые системы, тестирование которых будет требовать доступа к инфраструктуре, смогут только компании. В зависимости от характера найденных уязвимостей сведения о них будут публиковаться после устранения либо сохраняться втайне от всех, кроме разработчика продукта или владельца IT-системы.

Как полагает собеседник издания, занимающийся исследованиями безопасности IT-продуктов, обнаруженным уязвимостям вполне могут найти тайное применение, и знать о них будут только спецслужбы. В то же время другой эксперт по безопасности считает такой сценарий маловероятным, но отмечает, что талантливых участников программы могут пригласить к сотрудничеству со спецслужбами.

Комментируя этот аспект, Массух подчеркнул, что программа имеет сугубо гражданские цели, а у спецслужб есть собственные программы в сфере поиска уязвимостей.

Напомним, практика привлечения хакеров к поиску уязвимостей существует во многих IT-компаниях, включая Google, Apple, Facebook, «Яндекс» и другие. Например, с 2011-го по 2016 год Facebook выплатила исследователям около 6 млн долларов. В 2016 году программу поиска уязвимостей запустил Пентагон: тогда хакеры проверяли официальный сайт и другие медиаресурсы ведомства, а первая уязвимость была найдена уже через 13 минут после запуска программы. Всего в рамках этой программы хакерам было выплачено 75 тысяч долларов.