Российское образование мирового класса!

Цель Проекта 5-100 – максимизация конкурентной позиции группы ведущих российских университетов на глобальном рынке образовательных услуг и исследовательских программ.

СМИ о проекте


Специалист объяснил, когда предустановленное ПО повышает уязвимость

01 апреля 2021 года
Автор: ИА "Красная весна"
Фото: pixabay
Источник: ИА "Красная весна"

Предустановленное на устройства программное обеспечение может повышать уязвимость, но при этом важнее качество защиты программ, чем их количество, заявил доцент Института кибербезопасности и защиты информации Санкт-Петербургского политехнического университета Петра Великого (вуз-участник проекта 5-100) Евгений Жуковский 1 апреля корреспонденту ИА Красная Весна, комментируя вступающий в силу в РФ закон об обязательной предустановке отечественного ПО.

Специалист отметил, что чем больше установлено приложений на устройстве, тем больше существует потенциальных точек проникновения в систему для атакующего.

«Но основным фактором является не количество предустановленных приложений, так как на данный момент уже есть ряд предустанавливаемых приложений, а их качество с точки зрения безопасности», — подчеркнул он.

Жуковский напомнил, что современные приложения, особенно мобильные, являются только малой частью всей инфраструктуры, осуществляющей предоставление сервисов пользователю, и безопасность приложения определяется безопасностью всей совокупной инфраструктуры, включая и используемые сторонние сервисы, и информационные системы, осуществляющие обработку пользовательских данных.

«Ни одна компания, — не важно, какой бы она ни была крупной, — самостоятельно не может выявить все потенциальные проблемы безопасности в своих продуктах. Поэтому крайне важно производителям программ и устройств привлекать сторонних специалистов», — объяснил эксперт.

По его словам, для этого существуют bugbounty-программы, предполагающие предоставление вознаграждения исследователям, находящим ошибки и уязвимости в продуктах компаний.

«Данная практика показала огромную эффективность в выявлении проблем безопасности и большинство крупнейших производителей ее используют, так как компании могут привлекать для проверки безопасности своих продуктов сотни и тысячи специалистов по информационной безопасности со всего мира», — рассказал Жуковский.

Эксперт заметил, что большинство приложений, указанных в текущей версии списка предустанавливаемого российского ПО разрабатываются крупными игроками отечественной IT-отрасли, которые имеют публичные bugbounty-программы, позволяющие им получать информацию о десятках и сотнях проблем безопасности от сторонних исследователей, тем самым делая свои продукты безопасней.

По его словам, мишенью хакеров могут стать те программы, для которых не был проведен bugbounty-аудит. Он также напомнил, что для обеспечения безопасности необходимо своевременно устанавливать важные обновления.

Оригинал статьи: https://rossaprimavera.ru/news/68a5a4f6