Минцифры анонсировало программу Bug Bounty, в которой смогут принять участие российские хакеры. Специалисты по безопасности будут тестировать государственные системы.
Инициатива в проработке
О планах запуска первой государственной программы Bug Bounty рассказал директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин на форуме Positive Hack Days 11. По его словам, система выплаты вознаграждений заработает уже в 2022 году. Сейчас ведомство прорабатывает варианты отбора хакеров, которые будут тестировать отечественные госресурсы.
Пока среди рассматриваемых условий упомянуты обязательное наличие у специалиста российского гражданства и прохождение регистрации в Единой системе идентификации и аутентификации. Также для закрытых программ тестирования кандидату может понадобиться рекомендация от одной из компаний в сфере информационной безопасности.
Минцифры еще предстоит подготовить список требований к государственным структурам, которые смогут присоединиться к Bug Bounty. В ведомстве не планируют устанавливать жесткие критерии отбора. Регулятор установит минимальные условия, чтобы как можно больше владельцев информационных систем смогли принять участие в программе.
Статус проекта
Бенгин уточнил, что сейчас Минцифры озвучило свои планы экспертам, которые должны подготовить предложения по законодательному регулированию вопроса тестирования госсистем. Нужно установить, потребуются ли изменения в действующую правовую базу, чтобы не допустить привлечения к ответственности за взлом участников программы.
В ведомстве не исключают, что при удачном внедрении Bug Bounty для государственных сайтов и приложений возможно расширение инициативы и привлечение специалистов к тестированию устройств и оборудования. Представители Минцифры воздержались от ответа на вопрос, будет ли министерство сотрудничать с другими организациями для реализации программы вознаграждения за поиск багов.
Вопросы безопасности
Ранее Бенгин рассказал, что до конца 2022 года Минцифры подготовит законопроект, который ужесточит ответственность для компаний за утечку данных клиентов. Размер штрафа еще обсуждается, один из предложенных вариантов – 1% от оборота организации.
С мая текущего года начал действовать указ, запрещающий с 1 января 2025 года использовать разработки в сфере информационной безопасности, произведенные в недружественных странах или под их юрисдикцией, в госучреждениях, субъектах критической информационной инфраструктуры и на стратегических и системообразующих предприятиях. Также документ предусматривает создание в таких организациях отделов ИТ-безопасности к 1 января 2025 года.