a
b
c
d
FindNews.ru - новости, последние события, хроники.
«Лечили яичным компрессом»: в Мытищах после падения с самоката умер трехлетний ребенок
Сегодня, 16:09
Петербург ждет наводнение, но пока уровень воды в Неве за час поднялся на 5 см
Сегодня, 15:50
Шведские спецслужбы сообщили, что нашли подтверждения диверсии на «Северных потоках»
Сегодня, 15:49
Песков назвал публикации об отъезде 700 тыс. россиян с начала частичной мобилизации «какой-то уткой»
Сегодня, 15:34
«Получили карт-бланш?»: Собчак оценила предостережение Делимханова студентам, «продавшим страну»
Сегодня, 14:59
Упростили: АвтоВАЗ кое-что убрал из комплектации LADA Granta
Сегодня, 14:51
Опасность поджидает за углом: где гаишники устраивают засады автомобилистам
Сегодня, 14:51
В «Приморском квартале» появился благоустроенный двор с 6800 растений
Сегодня, 14:45
Лауреатом Нобелевской премии по литературе стала Анни Эрно
Сегодня, 14:35
В Госдуме попросили проверить сообщения о брошенных под Белгородом 500 мобилизованных
Сегодня, 14:19

Власти строят систему автоматического поиска «дыр» в исходниках государственного ПО на С, С++, Java

Власти собираются проверять исходный код госсайтов и приложений на уязвимости. Для этого НИИ «Восход», подведомственный ведомству, закупает необходимый софт. ПО должно выявить в исследуемых сервисах уязвимости и информацию о том, как их исправить. Эксперт отмечает, что это принципиально новая инициатива, но на рынке только одна компания предоставляет такое решение.

Центр анализа защищенности

Как выяснил CNews, НИИ «Восход», подведомственный Минцифры, закупает ПО для анализа исходного кода и бинарных файлов госсайтов и приложений. Закупка проводится в рамках создания государственного центра анализа защищенности мобильных и веб-приложений государственных информационных систем. Он будет представлять собой систему для проверки мобильных и веб-приложений ГИС на угрозы информационной безопасности.

На эти цели выделено 170,2 млн руб. Тендер размещен 15 сентября 2022 г. в формате открытого аукциона. На создание центра в целом заложено 700 млн руб. в рамках федпроекта «Информационная безопасность» нацпрограммы «Цифровая экономика».

Ввод центра в опытную эксплуатацию и запуск процедуры проверки мобильных приложений запланирован на конец 2022 г.

Как это будет работать

Согласно техническому заданию, закупаемое ПО должно выполнять автоматический анализ исходного кода программ на языках С, С++, Java, C#, Kotlin и Go. По результатам анализа приложений ПО должно выдавать рекомендации по настройке средств защиты информации (СЗИ) для уязвимостей.

picture24.jpg

НИИ «Восход» закупает ПО для проверки исходного кода госсайтов и приложений

ПО должно также предоставлять информацию о том, почему найденные в приложении уязвимости опасны, как их исправить, а также место в коде, в котором была найдена уязвимость.

Как рассказал CNews собеседник на ИБ-рынке, анализ исходного кода — это принципиально новая инициатива. «Но хотелось бы понять, с помощью какого ПО это будут производить, так как среди российских разработок мне известен только один продукт такого плана — у InfoWatch Натальи Касперской», — говорит он. По его словам, на рынке анализаторов уязвимости до сих пор преобладали западные решения, но «вряд ли они будут использованы в текущей ситуации».

По оценке собеседника издания, повышение защищенности мобильных и веб-приложений, очевидно, позволит сделать ГИС более надежными. «Это может помочь, например, снизить риск утечек, связанных с неработоспособностью государственных систем, — отмечает он. — Минусы такой инициативы могут быть связаны с организационными моментами — увеличением регуляторной нагрузки, сроков разработки и внедрения ГИС».

Дроны, роботы и VR: какие инновации востребованы в металлургии Инновации для промышленности

«Таких центров ранее не было, проверки безопасности ГИС зачастую осуществлялись разово, в рамках отдельных работ по частным техзаданиям. — рассказал CNews Александр Моисеев, ведущий консультант по информбезопасности Aktiv.Consulting (входит в компанию “Актив”). — Текущий подход предназначен с одной стороны для стандартизации, а с другой свидетельствует о встраивании процессов безопасности в жизненный цикл ГИС».

При этом эксперт отметил, что ни один инструмент не гарантирует выявление всех уязвимостей, и всегда остаются участки кода, которые потребуют ручной проверки в экспертном режиме.

Хакеры атакуют госучреждения

В нынешней реальности проверки мобильных и веб-приложений ГИС как никогда актуальны. В первом полугодии 2022 г. почти половина российских госструктур столкнулись с кибератаками, следует из исследования Центра подготовки руководителей и команд цифровой трансформации РАНХиГС.

Рост кибератак на российские госструктуры, критически важные предприятия и финансовые организации резко выросло менее чем через месяц после начала спецоперации на Украине.

Как незрячие тестировщики помогают делать портал mos.ru удобным ИТ в госсекторе

Вместе с тем злоумышленники стали покупать логины и пароли сотрудников крупных компаний и госструктур. Эти данные могут быть использованы для атаки на критическую информационную инфраструктуру (банковские, транспортные и прочие важные системы).

Кристина Холупова

Поделиться Подписаться на новости Короткая ссылка

Наука и высокие технологии - другие новости