Настоящий боец. Дончанин не отчаялся после потери рук и помогает другим ветеранам

       Из Iskra возгорится пламя: все факты о новом семействе модели Lada

       Почему лишение прав невиновных водителей стало практикой

       Ставки по банковским вкладам выросли до 17-18%. К чему это приведет?

       Минфин предложил ввести прогрессивную шкалу НДФЛ. Что важно знать

       Как пояснил "РГ" основатель Future Crew (центр разработки решений для кибербезопасности на базе AI), вице-президент МТС по стратегии и инновациям Евгений Черешнев, речь идет о развитии пентестинга, то есть услуг по испытанию компьютерных систем путем контролируемых хакерских атак.

       "Заниматься этим запрещает законодательство во многих странах. Даже если ты этичный и публичный хакер с прекрасной репутацией. Тем не менее сами испытания проводятся, поскольку услуга востребована и эффективна. Скажем, для компаний из США специалисты могут проводить пентестинг из стран Латинской Америки, где законодательство более мягкое, - рассказал Черешнев. - Как это работает в России? Вы заключаете с организацией контракт на пентестинг и затем дополнительно получаете у нее разрешение на взлом систем. Конечно, его выдают. Но с жесткими параметрами: такого-то числа в такое-то время вы должны провести атаку на конкретные IP-адреса. По сути, вам выделяют "песочницу", на защиту которой будут брошены силы всех айтишников компании. Это симуляция, консалтинг - что угодно, но не пентест".

       Вместе с тем на рынке киберуслуг уже существует практика bug bounty - оплачиваемого поиска уязвимостей в корпоративном ПО или веб-приложениях. Этичные хакеры проводят "разведку боем" и предоставляют клиенту список брешей в защите. Подобным способом испытывали друг друга на прочность специалисты "Лаборатории Касперского" и Positive Technologies. Большинству компаний в России проверка по принципу bug bounty не требуется - они и так знают, что их защита "дырявая", и нуждаются просто в помощи с устранением уязвимостей.

       "Для этого, бывает, нужно ограничить влияние директоров по информационной безопасности (CISO), чтобы они не знали, где систему будут взламывать. Тогда ее можно по-настоящему просканировать и выдать перечень уязвимостей", - отметил Черешнев.

       ТехнологииБолее 50% российских компаний не хватает времени на киберзащиту

       По его словам, на уровне законодательства можно предусмотреть лицензирование сложных услуг по проверке кибербезопасности. Тогда сработает естественный отбор, и на рынке останутся те, кто сможет вести качественный пентестинг.

       "Сама идея уже известна чиновникам из Минцифры, но для ее реализации необходимо прийти к консенсусу с Роскомнадзором и силовыми ведомствами. Безусловно, у них есть опасения - а вдруг мошенников станет больше. По-моему, больше некуда. У хакеров по всему миру прекрасное финансирование, шикарное оборудование, хорошая маскировка. С началом СВО атаки стали такими интенсивными, что айтишников уже ничем не удивить. Да, глупо ожидать, что все взломщики станут соблюдать правила. Но тем, кто работает открыто, - "белым" хакерам, специалистам по bug bounty, реверс-инженерам - нужно дать шанс работать нормально", - резюмировал эксперт.

       ТехнологииХакеры массово нападают на российский бизнес

       Станьте нашим подписчиком в Дзен

       СвязьТехнологииТехнологии