Как заявил замминистра связи Алексей Соколов, одним из перспективных направлений деятельности государства в области информационной безопасности должна стать координация разработки рекомендаций в сфере безопасности и регламентов тестирования методов реагирования на киберугрозы, в том числе с возможностью внедрения программ поиска уязвимостей bug bounty. «Мы прорабатываем возможность использования этого международного принципа как для продуктов, включенных в реестр отечественного ПО, так и для иных объектов, используемых, например, в АСУ ТП и иных критически важных инфраструктурах» - отметил Соколов.
По мнению директор по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, основная проблема заключается в том, что для российского рынка ПО долгое время было характерно «наплевательское» отношение к качеству программного кода. Однако ситуация начала меняться в банковской сфере, когда ежегодные потери от хакерских атак стали исчисляться миллиардами рублей. Но в остальных областях ситуация остается плачевной. Изменить ее могут процессы импортозамещения, при которых разработчики заинтересованы в том, чтобы их программные средства находились в реестре отечественного ПО. Например, если у разработчиков среди прочих требований появится обязанность демонстрировать качество своих разработок с помощью таких вот программ bug bounty.
Данные системы поиска уязвимостей использовалась потому, что пользуются большой популярностью среди российских IT-компаний. К примеру, ряд сервисов Mail.Ru Group и соцсеть «ВКонтакте» используют популярную международную систему HackerOne. Сумма выплачиваемых вознаграждений имеет весьма большой диапазон — от сотен долларов до нескольких тысяч в зависимости от найденной уязвимости. Кроме того, на сайтах, работающих по программе bug bounty, компании-разработчики выкладывают информацию о том, за какие найденные уязвимости, сколько денег они готовы заплатить. Белые хакеры проверяют софт или сайты на разные уязвимости, и если находят, то через специальную форму рассказывают о том, что это за уязвимость, и описывают порядок действий, которые нужно проделать разработчику, чтобы ее воспроизвести. Если информация подтверждается, то хакеру выплачивается вознаграждение.
Однако проведение программы bug bounty связано с определенными техническими и организационными трудностями. Например, разработчик не всегда может выложить дистрибутив программы для исследования: нужно создавать физические или виртуальные стенды и регулировать доступ к ним.
В марте глава Минкомсвязи Николай Никифоров направлял государственным и муниципальным заказчикам письмо с разъяснением о применении реестра российского ПО в части соблюдения требований по защите информации. В нем шла речь о внедрении государственных информационных систем государственным и муниципальным заказчикам. Решение по защите информации должно приниматься каждой организацией самостоятельно.
По словам главы компании ALT Linux Алексея Смирнова, реестр отечественного ПО был создан для того, чтобы был простой способ отличить отечественный софт от неотечественного, но нахождение в реестре не говорит о качестве программного кода.