Взлом во благо: Депутат Немкин о набирающем популярность в России этичном хакерстве
Министерство цифрового развития, связи и массовых коммуникаций собирается провести еще одну программу багбаунти (Bug Bounty). Задействованы будут не только Госуслуги, но и несколько собственных сервисов — Единая биометрическая система (ЕБС), Единая система идентификации и аутентификации (ЕСИА).
Если просто, то Bug Bounty — это конкурс для этичных или «белых» хакеров, желающих заработать на поиске уязвимостей. Итогом первой волны стало обнаружение 34 серьезных уязвимостей, а также участие 8,4 тысяч ИТ-специалистов.
Сейчас до года увеличится срок программы, а выплата «белым» хакерам за найденную уязвимость может достичь одного миллиона рублей.
Член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин в беседе со «Свободной Прессой» отметил, что этичные хакеры давно зарекомендовали себя как инструмент эффективного тестирования устойчивости объектов информационной инфраструктуры.
«Преимущество такой системы в том, что организация допускает в свою информационную систему фактически независимого эксперта. К сожалению, когда работники погружаются в систему информационной безопасности конкретной организации и развивают ее, возможность взгляда со стороны исчезает, ввиду чего могут упускаться очевидные вещи, которые не упустит квалифицированный независимый эксперт, устроив настоящий краш-тест системе», — пояснил собеседник издания.
Парламентарий уточнил, что сегодня деятельность «белых» хакеров не урегулирована на законодательном уровне. Не так давно в Госдуму был внесен законопроект, призванный легализовать багбаунти в России.
«Безусловно, использование услуг «белых» хакеров для российских компаний — исключительно добровольная инициатива. В первую очередь, действия этих специалистов нацелены на то, чтобы выявить пробелы в безопасности компании, указать на них и найти пути, чтобы эти пробелы были своевременно закрыты до того момента, как их обнаружат злоумышленники», — сказал Немкин.
Он подчеркнул, что «никого брать на карандаш» из-за отказа в допуске этичных хакеров не планируется. Роскомнадзор и другие уполномоченные органы и так внимательно следят за обеспечением безопасной работы российских компаний в цифровой среде. В случае с «белыми» хакерами — это исключительно желание компаний совершенствовать собственные системы, «а оно, по идее, должно быть у всех».
Депутат добавил, что сегодня услугами этичных хакеров пользуются очень многие компании, особенно за рубежом. При этом они стараются это не афишировать, чтобы не привлекать внимание другого рода хакеров.
«Ведь для некоторых из них такая работа может стать сигналом — компания сомневается в собственной информационной безопасности, значит в ней действительно могут быть лазейки для кражи данных и других видов вмешательства. В России существуют определенные риски для работы «белых» хакеров, которые мы и стараемся нивелировать нашими законопроектами. Уверен, когда они вступят в силу, популярность «белых» хакеров возрастет кратно», заключил Немкин.
Ранее он прокомментировал слова Евгения Касперского о «дырявой» мировой инфраструктуре.