Правительство РФ одобрило план мероприятий по информационной безопасности программы "Цифровая экономика" , который предусматривает выплаты хакерам за найденные уязвимости в различных IT-системах. Об этом сообщают "Ведомости".
Согласно документу, до конца 2020 г. на денежные премии и призы за найденные уязвимости планируется выделить 500 млн руб. из бюджета и еще 300 млн руб. внебюджетных средств. Реализация этой части программы должна начаться в апреле текущего года. Ответственными за ее выполнение названы Минкомсвязи, ФСБ и ФСТЭК, исполнителем – Центр компетенций по импортозамещению в сфере ИКТ.
Программа будет охватывать российские государственные IT-системы и IT-продукты вендоров (как российских, так и зарубежных). При этом в случае с IT-системами речь идет о наличии явного заказчика поиска уязвимости, который предложит хакерам систему для теста и может дать доступ к ней. В случае с другими продуктами тестирование будет производиться без уведомления разработчика системы (например, тестирование рыночных IT-платформ или операционных систем). Выделенные на вознаграждение хакеров средства между этими двумя моделями будут распределяться в пропорции примерно 75 на 25.
В Центре компетенций также сообщили, что заниматься поиском уязвимостей смогут и физические лица, и компании, но проверять некоторые системы, тестирование которых будет требовать доступа к инфраструктуре, смогут только компании. В зависимости от характера найденных уязвимостей сведения о них будут публиковаться после устранения либо сохраняться втайне от всех, кроме разработчика продукта или владельца IT-системы.
Практика привлечения хакеров к поиску уязвимостей существует во многих IT-компаниях, включая Google, Apple, Facebook, "Яндекс" и другие. Например, в 2011-2016 гг. компания Facebook выплатила исследователям около 6 млн долл.