Минцифры потратит 700 млн руб. на создание Центра проверки мобильных и веб-приложений на уязвимости, пишет Cnews. На первом этапе в нем станут бесплатно тестироваться госсервисы. Эксперты признают актуальность соответствующей задачи, однако предупреждают, что автоматическая проверки мобильного приложения не избавит от необходимости проведения ручного исследования.
Ввод центра в опытную эксплуатацию и запуск процедуры проверки мобильных приложений запланирован на конец 2022 г. «В 2022-2023 гг. будет реализована возможность бесплатного тестирования приложений госсектора», — уточнили редакции в министерстве принцип первостепенного доступа к услугам центра.
В 2022-2023 году будет реализована возможность бесплатного тестирования только госсектора. Результат в виде создания сервиса проверки мобильных приложений на уязвимость, механизмов раннего оповещения и быстрого реагирования на угрозы информационной безопасности для организаций включен в федеральный проект «Информационная безопасность» национальной программы «Цифровая экономика». Расходы федерального бюджета на достижение данного результата за период до 2024 г. составят 700 млн руб.
Эксперты считают поставленную задачу актуальной. «Проблема уязвимости информационных систем более чем актуальна сегодня, и наравне с сетевыми инфраструктурами и веб-сайтами, мобильные приложения также накапливают ошибки проектирования, реализации и доработок, которые приводят к возникновению уязвимостей», — объяснил руководитель департамента аудита и консалтинга компании Group-IB Андрей Брызгин.
«Разрабатываемый сервис очень нужен, особенно с учетом количества мобильных приложений со скрытыми вредоносными функциями, — сообщил специалист по информационной безопасности российского представительства компании Accenture Марат Цихмистров. — Речь идет не только о традиционных хищениях личных данных, данных банковских карт и паролей, но и слежке за владельцем устройства или чрезмерной и навязчивой рекламе. Напор киберпреступников в отношении мобильных устройств не ослабевает и на протяжении последних лет остается стабильно высоким. Способы обмана и маскировки приложений под легитимные, к слову, достаточно быстро меняются в соответствии с повесткой дня. Например, в первой половине 2020 г. появилось гигантское количество вредоносных приложений на тему коронавируса».
Руководитель аналитического центра компании Zecurion Владимир Ульянов полагает, что вслед за созданием сервиса проверки мобильных приложений на уязвимость можно будет сделать и реестр приложений, прошедших проверку в этом сервисе. «Это станет аналогом сертификации ПО, — рассуждает Ульянов. — Или в обязательном порядке проверку можно будет сделать для всех приложений, которые выпускаются для государственных сервисов».
В то же время Андрей Брызгин предупреждает, что поиск уязвимостей в любом элементе информационной системы сложен, трудозатратен и требует особых компетенций со стороны участвующих специалистов. При этом некоторые этапы данного процесса можно и нужно автоматизировать, признает эксперт.
«Именно в результате такой автоматизации и появляются инструменты, облегчающие ряд рутинных этапов анализа защищенности систем, — отмечает Брызгин. — Но полагаться только на результаты работы этих инструментов не следует в силу того, что обычно они помогают найти лишь фактически известные уязвимости самых популярных классов, а результаты их работы всегда нуждаются в уточнении и проверке каждого вывода. Таким образом, использование автоматизированных инструментов оценки защищенности едва ли можно считать надежным способом усиления защиты систем и приложений».