Федеральная программа поиска уязвимостей на Национальном киберполигоне
Компания «Ростелеком» объявила в ходе форума ПМЭФ 2021 об открытии на базе Национального киберполигона масштабной программы по поиску уязвимостей в программном и аппаратном обеспечении (bug bounty). Цель программы – проверка и повышение уровня защищенности решений, используемых в организациях госсектора, крупнейших коммерческих компаниях и на объектах КИИ России. Программа запущена в рамках реализации Федерального проекта «Информационная безопасность» Национальной программы «Цифровая экономика Российской Федерации». Первым ее участником стала компания «Код Безопасности», производитель средств криптографической защиты информации.
Исследования уязвимостей программных и аппаратных решений на Национальном киберполигоне будут проводиться на регулярной основе в сотрудничестве с крупнейшими российскими и зарубежными разработчиками. До конца 2021 г. «Ростелеком» планирует не менее шести партнерств в этой сфере.
В рамках bug bounty исследователи будут тестировать предложенные решения на предмет устойчивости к различным типам кибератак. Вся информация, собранная по итогам программ, будет передаваться вендорам для устранения ошибок. Таким образом крупнейшие российские разработчики смогут проверить безопасность своих продуктов в условиях, максимально приближенных к ситуации реальных кибератак, а эксперты в сфере кибербезопасности – получить вознаграждение за нахождение ошибок и уязвимостей.
Программа поможет на практике верифицировать безопасность решений, которые широко применяются в ключевых отраслях экономики и тем самым повысить киберустойчивость страны в цифровом пространстве. Как отмечают в «Ростелекоме», она является логичным продолжением курса на импортозамещение: отечественные решения завоевывают все большую долю присутствия в государственном секторе, промышленности, на объектах КИИ, поэтому необходима уверенность в их безопасности.
Первое исследование стартует в июне, его объектом станет решение «Континент АП» от «Кода Безопасности» – средство криптографической защиты информации, которое обеспечивает защищенный доступ в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников. «Континент АП» широко применяется для защиты ГИС и объектов КИИ. В ходе программы bug bounty на Национальном киберполигоне исследователям необходимо будет получить удаленный доступ к аппаратно-программному комплексу шифрования «Континент» и в течение трех недель искать уязвимости в реализации функциональности продукта. Верифицировать их будет экспертная группа «Ростелеком-Солар», дочерней структуры «Ростелекома». Вся информация будет передана вендору для повышения защищенности решения. Для участия в программе необходимо подать заявку в «Ростелеком-Солар».