Государственная кибербезопасность: за каждую найденную уязвимость специалистам должны платить от $10 тысяч

Госспецсвязь обещает повысить кибербезопасность Украины. Планируют узаконить баг баунти, поиск уязвимостей за вознаграждение для государственных объектов.

Разговор с экспертом по кибербезопасности Виталием Якушевым.

Виталий Якушев: Баг баунти могут быть открытыми — тестировать продукт могут на платформе все желающие. Заказчик заключает с платформой договор и работает по законодательству страны, где находится платформа. Баг баунти «Дии» была на платформе и под законами другой страны, поэтому в ее тестировании не было нарушений.

• По нашему законодательству, даже если заказчик дает разрешение компаниям на баг баунти продукта, действия исполнителя до сих пор определяют как взлом.

Вознаграждение за такой поиск уязвимостей ресурса может быть разным: от нуля и до миллионов долларов. Нет стандартов или подходов.

• Национальные секретные информресурсы — бесценны. Справедливыми были бы ценники за найденные критические уязвимости от $10 тысяч за каждую.

Кибербезопасность имеет несколько этапов. Есть тестирование внутри: этим должны заниматься штатные специалисты. Они есть у «Дии». Баг баунти является параллельным тестированием изнутри.

• Если уязвимость обнаружат извне, это означает, что специалисты не справились с заданием.

Баг баунти (Bug Bounty) — программа вознаграждений за найденные ошибки, уязвимости в программном обеспечении на онлайн ресурсах. Программы Bug Bounty были представлены в компаниях Mozilla, Facebook, Google, Microsoft и других.

Полностью программу слушайте в аудиофайле
Поддерживайте «Громадське радио»  на Patreon, а также устанавливайте наше приложение:

если у вас Android

если у вас iOS