В России за 700 млн руб. создадут госцентр проверки безопасности мобильных приложений

16.02.2022
В России за 700 млн руб. создадут госцентр проверки безопасности мобильных приложений

Минцифры завершает работы по согласованию технического задания на создание Центра проверки мобильных и веб-приложений, целью которого является повышение защищенности информационных систем, пишет IKSMEDIA.

Об этом CNews  рассказали в пресс-службе министерства. Ввод центра в опытную эксплуатацию и запуск процедуры проверки мобильных приложений запланирован на конец 2022 г. «В 2022-2023 гг. будет реализована возможность бесплатного тестирования приложений госсектора», — уточнили редакции в министерстве принцип первостепенного доступа к услугам центра.

В 2022-2023 году будет реализована возможность бесплатного тестирования только госсектора.Результат в виде создания сервиса проверки мобильных приложений на уязвимость, механизмов раннего оповещения и быстрого реагирования на угрозы информационной безопасности для организаций включен в федеральный проект «Информационная безопасность» национальной программы «Цифровая экономика». Расходы федерального бюджета на достижение данного результата за период до 2024 г. составят 700 млн руб.

Эксперты считают поставленную задачу актуальной. «Проблема уязвимости информационных систем более чем актуальна сегодня, и наравне с сетевыми инфраструктурами и веб-сайтами, мобильные приложения также накапливают ошибки проектирования, реализации и доработок, которые приводят к возникновению уязвимостей», — объяснил CNews руководитель департамента аудита и консалтинга компании Group-IB Андрей Брызгин.

«Тренд на цифровизацию всего окружающего пространства приводит к взаимосвязанности многих баз данных и сервисов и увеличивает поверхность потенциальных атак с использованием как известных, так и новых уязвимостей, а устойчивость всей совокупности систем и сервисов традиционно определяется устойчивостью самого слабого звена цепи, — добавляет он. — И этим звеном как раз может оказаться мобильное приложение».

«Разрабатываемый сервис очень нужен, особенно с учетом количества мобильных приложений со скрытыми вредоносными функциями, — сообщил в разговоре с CNews специалист по информационной безопасности российского представительства компании Accenture Марат Цихмистров. — Речь идет не только о традиционных хищениях личных данных, данных банковских карт и паролей, но и слежке за владельцем устройства или чрезмерной и навязчивой рекламе. Напор киберпреступников в отношении мобильных устройств не ослабевает и на протяжении последних лет остается стабильно высоким. Способы обмана и маскировки приложений под легитимные, к слову, достаточно быстро меняются в соответствии с повесткой дня. Например, в первой половине 2020 г. появилось гигантское количество вредоносных приложений на тему коронавируса».

«В любом программном обеспечении могут содержаться уязвимости, потому что код пишется людьми, которые иногда совершают ошибки, — отмечает эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев. — Самое главное — постоянно совершенствовать безопасность ПО и оперативно закрывать обнаруженные ошибки. Если разработчик ответственно подходит к созданию приложения, то он будет благодарен за информацию об уязвимостях и будет оперативно реагировать на нее. Успешный опыт bug bounty программ многих компаний уже показывает, что подобные инициативы позволяют эффективно повышать защищенность ПО».

Руководитель аналитического центра компании Zecurion Владимир Ульянов полагает, что вслед за созданием сервиса проверки мобильных приложений на уязвимость можно будет сделать и реестр приложений, прошедших проверку в этом сервисе. «Это станет аналогом сертификации ПО, — рассуждает Ульянов. — Или в обязательном порядке проверку можно будет сделать для всех приложений, которые выпускаются для государственных сервисов».

В то же время Андрей Брызгин предупреждает, что поиск уязвимостей в любом элементе информационной системы сложен, трудозатратен и требует особых компетенций со стороны участвующих специалистов. При этом некоторые этапы данного процесса можно и нужно автоматизировать, признает эксперт.


Популярные материалы