Российские власти готовы потратить 800 миллионов рублей на поиски уязвимости в IT-системах, в том числе государственных. Эту цифру приводит газета «Ведомости», утверждающая, что до конца 2020 года на эту работу отводится 500 млн рублей из бюджета и 300 млн рублей внебюджетных средств. По сведениям издания, планируется, что деньги пойдут на премии и призы за найденные уязвимости.
Как поясняет издание, тот факт, что государство намерено пригласить исследователей вопроса – компании и частных лиц – следует из плана мероприятий по информационной безопасности Программы цифровой экономики, утвержденного правительством России 18 декабря 2017 года.
Предполагается, что реализация проекта начнется в апреле. Ответственными за него будут Минкомсвязи, Федеральная служба безопасности и Федеральная служба по техническому и экспортному контролю. Исполнителем был выбран Центр компетенций по импортозамещению в сфере информационных и коммуникационных технологий.
По словам директора центра Ильи Массуха, проверять на уязвимости будут как российские государственные IT-системы, так и IT-продукты отечественных и зарубежных вендоров. В работе планируется использовать две модели: когда заказчик поиска уязвимости сам предложит свою систему для теста и даст к ней доступ, и когда тестировать продукт будут без уведомления разработчика. Средства между этими двумя моделями будут распределять в пропорции примерно три к одному
Массух добавил, что проводить тестирование смогут и физические лица, и компании, но часть работ будет доступна только для компаний. Уязвимости, которые удастся обнаружить в ходе проверки, будут либо обнародовать после устранения, либо сохранять втайне от всех, кроме вендора или владельца IT-системы. В то же время источник «Ведомостей» не исключил, что найденным уязвимостям «найдут какое-то тайное применение».
Прокомментировать для «Полит.ру» информацию о проекте, рассказав о том, насколько серьезную угрозу могут представлять такие уязвимости и насколько существенным может стать сам проект, согласился Алексей Раевский, генеральный директор компании Zecurion.
«В принципе, это проблема очень существенная, потому что программы пишут люди, а людям свойственно ошибаться. И хоть это и тестируется, проходит контроль качества и, кроме того, есть и другие способы отслеживания ошибок, но все равно полностью избавиться от них никогда не удается. Поэтому рано или поздно в любом программном обеспечении находят уязвимости.
Это касается и операционных систем, и прикладных программ, и свободного программного обеспечения с открытым исходным кодом, и коммерческих, проприетарных программ. И чаще всего последствия обнаружения уязвимостей оказываются довольно серьезными. Все прошлогодние эпидемии вирусов-шифровальщиков – Petya, NotPetya, Wanna Cry – произошли из-за таких уязвимостей, которые вовремя не были устранены.
Так что проблема действительно существует, и свои программы по тестированию на уязвимость (так называемые bug bounty) существуют практически у всех крупных производителей ПО и у многих государственных служб и коммерческих структур. Потому что лучше заплатить деньги хакеру White hat (так называемый "этичный хакер", дословно "белая шляпа" – прим. ред.) и вовремя эту уязвимость устранить, чем потом оказаться перед гораздо более разрушительными последствиями.
В том, что это будет делаться централизовано, есть свои плюсы и минусы. Если, допустим, каждому руководителю каждого ведомства сказать: "Дорогой Иван Петрович, тебе еще надо заняться программой bug bounty!", то, думаю, это будет уже перегрузкой для среднестатистического руководителя-чиновника. Потому что культура в плане информационных технологий, информационной безопасности у нас еще достаточно низкая. Словом, наверно, то, что такое тестирование будет централизованным, окажется выходом из ситуации.
Если говорить о том, что найденным уязвимостям могут найти некое тайное применение, то да, возможность такая существует. Ведь знание уязвимостей можно использовать не только для защиты, но и как оружие нападения. Например, вышло обновление операционной системы, и в нем нашлась уязвимость. О находке можно сообщить производителю программного обеспечения, а можно применить эти сведения и иначе. Ведь это знание означает, что у нас в руках оказалось средство, с помощью которого можно атаковать любой компьютер в любой точке земного шара, если на нем установлено такое обновление.
Вопросами уязвимости активно занималось Агентство национальной безопасности США. И те уязвимости, из-за которых были эпидемии вирусов-шифровальщиков, произошли, собственно, из-за утечки архива АНБ.
Понятно, что при официальном тестировании тот специалист, который найдет некую уязвимость, если захочет претендовать на получение вознаграждения, будет вынужден заключить соответствующий контракт (думаю, весьма суровый), по которому он не сможет эти данные никому передать. А так можно продать эту уязвимость на черном рынке, или продать ее тому же АНБ, ведь наши государственные структуры – не единственные, кто охотится за этими уязвимостями. Есть определенный рынок, и там тоже есть конкуренция», – объяснил Алексей Раевский.
Говоря о средствах, выделенных в России на реализацию проекта, эксперт отметил, что эта сумма для такой задачи не является очень уж большой. «Я бы не сказал, что это сумма астрономическая: в принципе, нормальная уязвимость из первых рук может стоить и 10 тысяч долларов, и даже больше. А уязвимостей может быть обнаружено много, и процентов 10 из них могут оказаться заслуживающими серьезного внимания. Так что я бы оценил этот проект пока просто как пилотный», – сказал Алексей Раевский.
Проект начнет реализовываться с апреля 2018 года.