Эксперт Алексей Раевский рассуждает о том, что регионы запускают тестирование госсистем на уязвимости:
В принципе, это распространено достаточно широко – по сути, все это практикуют, просто в разных формах. Если у вас есть информационная система, ее нужно время от времени проверять (называя вещи своими именами, пытаться ее взломать). Здесь никаких споров и обсуждений быть не может. Вопрос есть только в том, в каком формате это делается, кто для этого привлекается и так далее.
У нас обычно это делалось с помощью специализированных компаний, у которых в штате есть сотрудники, знакомые с хакерством и способные все это проделать. Однако считается, что это недостаточно: чем более комплексным будет тестирование, чем больше участников будут пытаться взломать эту систему, тем больше дыр в ней найдут – и тем меньше их даже в принципе смогут потом найти злоумышленники, которые тоже будут пытаться взломать систему, только уже чтобы причинить вред.
Вообще принцип bug bounty (открытый конкурс по поиску уязвимостей в продукте, часто за вознаграждение победителей конкурса – прим. ред.) у нас сейчас внедряется усиленно. И можно предположить, что то, о чем пишет газета, – какие-то первые ласточки в этом плане.
Войдет ли это в обход, будет ли применяться в дальнейшем, я пока сказать не могу. Но в том, что это нужно, у меня сомнений нет. Нужны ли нам в этой сфере зарубежные специалисты? Я бы не стал вообще проводить в этой области границ. К тому же, как я уже говорил, чем больше людей участвует в попытках выявить уязвимости системы, тем лучше.
Поэтому если можно привлечь зарубежных специалистов, почему бы их не привлечь? Что же касается опасений того, не создаст ли это дополнительно проблем с точки зрения безопасности, то эти опасения можно отбросить – не создаст. Если кто-то из-за рубежа хочет попробовать взломать систему, он может это сделать и так, без какой-либо программы.
А вообще «белые хакеры» ведь тоже взламывают системы не просто так, а с намерением получить за это деньги законным образом. При этом они не нарушают законов и не причиняют частным компаниям или государственным структурам вреда, работают им на пользу.