Разделы

Телеком Цифровизация ИТ в госсекторе Техника

В России за 700 млн руб. построят госцентр проверки безопасности мобильных приложений

Минцифры потратит 700 млн руб. на создание Центра проверки мобильных и веб-приложений на уязвимость. На первом этапе станут бесплатно тестироваться госсервисы. Эксперты признают актуальность соответствующей задачи, однако предупреждают, что автоматическая проверки мобильного приложения не избавит от необходимости проведения ручного исследования.

Госцентр проверки мобильных приложений

Минцифры завершает работы по согласованию технического задания на создание Центра проверки мобильных и веб-приложений, целью которого является повышение защищенности информационных систем. Об этом CNews рассказали в пресс-службе министерства. Ввод центра в опытную эксплуатацию и запуск процедуры проверки мобильных приложений запланирован на конец 2022 г. «В 2022-2023 гг. будет реализована возможность бесплатного тестирования приложений госсектора», — уточнили редакции в министерстве принцип первостепенного доступа к услугам центра.

В 2022-2023 году будет реализована возможность бесплатного тестирования только госсектора.Результат в виде создания сервиса проверки мобильных приложений на уязвимость, механизмов раннего оповещения и быстрого реагирования на угрозы информационной безопасности для организаций включен в федеральный проект «Информационная безопасность» национальной программы «Цифровая экономика». Расходы федерального бюджета на достижение данного результата за период до 2024 г. составят 700 млн руб.

Актуальность задачи проверки мобильных приложений

Эксперты считают поставленную задачу актуальной. «Проблема уязвимости информационных систем более чем актуальна сегодня, и наравне с сетевыми инфраструктурами и веб-сайтами, мобильные приложения также накапливают ошибки проектирования, реализации и доработок, которые приводят к возникновению уязвимостей», — объяснил CNews руководитель департамента аудита и консалтинга компании Group-IB Андрей Брызгин.

smartfony600.jpg
Минцифры вкладывает 700 млн руб. в создание центра проверки мобильных приложений на угрозы безопасности

«Тренд на цифровизацию всего окружающего пространства приводит к взаимосвязанности многих баз данных и сервисов и увеличивает поверхность потенциальных атак с использованием как известных, так и новых уязвимостей, а устойчивость всей совокупности систем и сервисов традиционно определяется устойчивостью самого слабого звена цепи, — добавляет он. — И этим звеном как раз может оказаться мобильное приложение».

«Разрабатываемый сервис очень нужен, особенно с учетом количества мобильных приложений со скрытыми вредоносными функциями, — сообщил в разговоре с CNews специалист по информационной безопасности российского представительства компании Accenture Марат Цихмистров. — Речь идет не только о традиционных хищениях личных данных, данных банковских карт и паролей, но и слежке за владельцем устройства или чрезмерной и навязчивой рекламе. Напор киберпреступников в отношении мобильных устройств не ослабевает и на протяжении последних лет остается стабильно высоким. Способы обмана и маскировки приложений под легитимные, к слову, достаточно быстро меняются в соответствии с повесткой дня. Например, в первой половине 2020 г. появилось гигантское количество вредоносных приложений на тему коронавируса».

«В любом программном обеспечении могут содержаться уязвимости, потому что код пишется людьми, которые иногда совершают ошибки, — отмечает эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев. — Самое главное — постоянно совершенствовать безопасность ПО и оперативно закрывать обнаруженные ошибки. Если разработчик ответственно подходит к созданию приложения, то он будет благодарен за информацию об уязвимостях и будет оперативно реагировать на нее. Успешный опыт bug bounty (процедура поощрения поиска уязвимостей в ПО и веб-сайтах) программ многих компаний уже показывает, что подобные инициативы позволяют эффективно повышать защищенность ПО».

Руководитель аналитического центра компании Zecurion Владимир Ульянов полагает, что вслед за созданием сервиса проверки мобильных приложений на уязвимость можно будет сделать и реестр приложений, прошедших проверку в этом сервисе. «Это станет аналогом сертификации ПО, — рассуждает Ульянов. — Или в обязательном порядке проверку можно будет сделать для всех приложений, которые выпускаются для государственных сервисов».

Почему это не отменяет необходимость в ручной проверке

В то же время Андрей Брызгин предупреждает, что поиск уязвимостей в любом элементе информационной системы сложен, трудозатратен и требует особых компетенций со стороны участвующих специалистов. При этом некоторые этапы данного процесса можно и нужно автоматизировать, признает эксперт.

«Именно в результате такой автоматизации и появляются инструменты, облегчающие ряд рутинных этапов анализа защищенности систем, — отмечает Брызгин. — Но полагаться только на результаты работы этих инструментов не следует в силу того, что обычно они помогают найти лишь фактически известные уязвимости самых популярных классов, а результаты их работы всегда нуждаются в уточнении и проверке каждого вывода. Таким образом, использование автоматизированных инструментов оценки защищенности едва ли можно считать надежным способом усиления защиты систем и приложений».

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД
Импортонезависимость

Игорь Королев