Чому Bug Bounty Дії не є доказом безпеки? В чому помилка Мінцифри, яка переконує українців в протилежному? Що можна зробити для справжнього покращення безпеки?
Кібербезпека держави в смартфоні питання заполітизоване та наелектризоване. Щоб зорієнтуватися у фактах, я присвятив кілька тижнів вивченню інформації про безпеку Дії як програмного продукту. Навіть на їхню Bug Bounty програму підписався і вже поскаржився на її недоліки в підтримку BugCrowd, така вже я людина. В цьому пості я ділюся своїми висновками про безпеку Дії.
Щоб увійти в курс справ, вам слід прочитати останні 100 постів Костянтина Корсуна, Андрія Барановича та Артема Карпінського, а також опанувати два цікаві матеріали в онлайн-ЗМІ. Перший це колонка міністра цифровізації на Лізі, другий це інтерв’ю заступника міністра цифровізації у НВ. Усі згадані джерела маніпулятивні поза рамками пристойності, проте за лаштунками дотичних наративів очевидний головний меседж Мінцифри: ми піклуємось про безпеку Дії як головної (наразі) маніфестації концепції “держави в смартфоні”. Ми здійснюємо для її захисту потрібні та ефективні заходи. Зокрема це КСЗІ навколо інфраструктури додатку Дія та Bug Bounty її програмної частини. З боку критиків лунають закиди, які підлаштовуються під контекст та тон контраргументів. Але якщо коротко, то на думку опонентів Мінцифра некомпетентна виконувати взяті на себе зобов’язання.
Як професіонал з кібербезпеки, який спеціалізується на захисті програмного забезпечення на рівні стратегічного управління однією з найкращих компаній на цьому ринку, мушу зазначити, що твердження з обох боків позбавлені об’єктивної ваги й НЕ Є аргументами – ані на захист тези про безпеку Дії від актуальних загроз, ані проти неї. Знову ж таки, я не хочу ставати учасником політичних баталій між Мінцифрою та її противниками. Мій погляд на ситуацію суто професійний. Сьогодні я спрямую увагу на аргументи Мінцифри, бо її опонентам від мене вже дісталося. Отже, розпочнімо.
Продовжити читання “Чому Bug Bounty не є доказом безпеки Дії”
