Минцифры считает программы поиска уязвимостей за вознаграждение (Bug Bounty) полезным инструментом для аудита защищенности. Однако участие в таких программах должно быть исключительно добровольным.
Яков Шпунт
© ComNews
16.11.2023
Заместитель министра цифрового развития, связи и массовых коммуникаций Александр Шойтов в выступлении на секции "Устойчивость в BANI-мире: преграды, стратегии и возможности" в ходе SOC-Форума-2023 назвал крайне острой и при этом не имеющей однозначного решения проблему аудита защищенности информационных систем, государственных (ГИС) в том числе. Особенно важно, как подчеркнул замглавы профильного ведомства, будет провести такой аудит для тех компаний, которые занимаются обслуживанием и сопровождением ГИС, поскольку именно они стали главным "слабым звеном", через которые происходят попытки атак и проникновений.
По мнению Александра Шойтова, наилучшим инструментом показали себя программы поиска уязвимостей за вознаграждение (Bug Bounty), однако они должны быть добровольными для участников. Незадолго до начала конференции — 8 ноября 2023 г. — Минцифры расширило программу Bug Bounty с одного сервиса до девяти, однако, по мнению источников издания "Коммерсантъ", у федерального правительства нет финансовых и кадровых ресурсов для того, чтобы расширить данную программу на другие ведомства и их подрядчиков.