Специалист объяснил, когда предустановленное ПО повышает уязвимость
Предустановленное на устройства программное обеспечение может повышать уязвимость, но при этом важнее качество защиты программ, чем их количество, заявил доцент Института кибербезопасности и защиты информации Санкт-Петербургского политехнического университета Петра Великого (вуз-участник проекта 5-100) Евгений Жуковский 1 апреля корреспонденту ИА Красная Весна, комментируя вступающий в силу в РФ закон об обязательной предустановке отечественного ПО.
Специалист отметил, что чем больше установлено приложений на устройстве, тем больше существует потенциальных точек проникновения в систему для атакующего.
«Но основным фактором является не количество предустановленных приложений, так как на данный момент уже есть ряд предустанавливаемых приложений, а их качество с точки зрения безопасности», — подчеркнул он.
Жуковский напомнил, что современные приложения, особенно мобильные, являются только малой частью всей инфраструктуры, осуществляющей предоставление сервисов пользователю, и безопасность приложения определяется безопасностью всей совокупной инфраструктуры, включая и используемые сторонние сервисы, и информационные системы, осуществляющие обработку пользовательских данных.
«Ни одна компания, — не важно, какой бы она ни была крупной, — самостоятельно не может выявить все потенциальные проблемы безопасности в своих продуктах. Поэтому крайне важно производителям программ и устройств привлекать сторонних специалистов», — объяснил эксперт.
По его словам, для этого существуют bugbounty-программы, предполагающие предоставление вознаграждения исследователям, находящим ошибки и уязвимости в продуктах компаний.
«Данная практика показала огромную эффективность в выявлении проблем безопасности и большинство крупнейших производителей ее используют, так как компании могут привлекать для проверки безопасности своих продуктов сотни и тысячи специалистов по информационной безопасности со всего мира», — рассказал Жуковский.
Эксперт заметил, что большинство приложений, указанных в текущей версии списка предустанавливаемого российского ПО, разрабатываются крупными игроками отечественной IT-отрасли, которые имеют публичные bugbounty-программы, позволяющие им получать информацию о десятках и сотнях проблем безопасности от сторонних исследователей, тем самым делая свои продукты безопасней.
По его словам, мишенью хакеров могут стать те программы, для которых не был проведен bugbounty-аудит. Он также напомнил, что для обеспечения безопасности необходимо своевременно устанавливать важные обновления.