Россия заплатит 800 млн рублей за обнаружение уязвимостей в ИТ-системах до конца 2020 года

Участвовать в поиске смогут как крупные компании, так и исследователи-одиночки.

Российские власти пригласят исследователей для поиска уязвимостей в государственных ИТ-системах. Об этом пишут «Ведомости» со ссылкой на план мероприятий по информационной безопасности, содержащийся в программе цифровой экономики.

Такое предложение поступило от бизнеса — «Сбербанка» и компании InfoWatch. План был утверждён правительством в декабре 2017 года.

До конца 2020 года на денежные премии и призы за найденные уязвимости выделят 500 млн рублей из бюджета и ещё 300 млн рублей внебюджетных средств. Программа начнёт действовать с апреля 2018 года, ответственными назначены Минкомсвязи, ФСБ и Федеральная служба по техническому и экспортному контролю. Исполнитель работ — Центр компетенций по импортозамещению, созданный по поручению президента России Владимира Путина.

Тестировать будут государственные ИТ-системы, а также разработки российских и зарубежных вендоров, сообщил «Ведомостям» глава центра Илья Массух. По его словам, будет две модели тестирования:

  • Первая: клиент сам заказывает поиск уязвимости и предоставляет доступ к своей системе. На работу по этой модели будут направлены 75% выделяемых средств.
  • Вторая: тестирование проводится без уведомления разработчика системы. Речь идёт о рыночных ИТ-платформах, операционных системах, системах управления базами данных.

Участвовать в поиске уязвимостей смогут все — как компании, так и физические лица, рассказал Массух. В некоторых случаях тесты смогут проводить лишь компании, поскольку эти исследования могут потребовать доступа к инфраструктуре систем.

В зависимости от характера найденных уязвимостей они будут либо публиковаться после их устранения, либо сохраняться втайне от всех, кроме вендора или владельца системы, указал Массух.

Один из источников «Ведомостей» в сфере безопасности допустил, что уязвимостям могут найти «тайное применение». Другой источник предположил, что данные о некоторых уязвимостях получат лишь спецслужбы. Кроме того, высока вероятность, что талантливых исследователей пригласят к сотрудничеству со спецслужбами.

Представитель Минкомсвязи не сообщил изданию, что будут делать с обнаруженными уязвимостями и станут ли тестировать продукты зарубежных вендоров. Он лишь сказал, что министерство ждёт дополнительной информации от инициаторов программы.

44
7 комментариев

75% только через тендер, осталось 25%

да за такие деньги уязвимость на сторону продадут и больше заработают

3

Ага, а участников программы (то есть хакеров) потом будут "брать на карандаш", а что потом с ними будет догадаться не так уж и трудно ;-)

Дадут звезды? В смысле, Героя России?

1