Власти хотят ввести налоговые льготы для «белых хакеров»
Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) России обсуждает с Федеральной налоговой службой (ФНС) применение налоговых льгот для компаний в области кибербезопасности, занимающихся пентестом. В настоящее время не все ИТ-компании, оказывающие такие услуги, могут претендовать на льготы, а на рынке уже есть случаи, когда налоговая служба отказывает организациям.
Многие не получают льгот
Минцифры России обсуждает с ФНС применение налоговых льгот для компаний в области кибербезопасности, занимающихся пентестом т.е. тестированием ИТ-систем компаний для повышения их защищенности. Об этом в конце октября 2024 г. пишет «Коммерсант».
В условиях нестабильной рыночной ситуации многие российские компании, предоставляющие услуги по тестированию на проникновение и анализу уязвимостей, сталкиваются с трудностями в получении налоговых льгот. ФНС часто отказывает организациям, не соответствующим установленным критериям. Это создает неопределенность для бизнеса и может затруднить дальнейшее развитие ИТ-компаний, которые надеялись на поддержку со стороны государства. Участники рынка считают, что для таких узкопрофильных специалистов по информационной безопасности (ИБ) необходимо расширить критерии льготного стимулирования, но эксперты напоминают, что им важно доказать, что они как ИТ-компании получают не менее 70% дохода от профильной деятельности.
«Белыми хакерами» называют специалистов в области кибербезопасности, которые тестируют ИТ-системы государства или компаний, атакуя их так, как это бы делали реальные киберпреступники. Отличие в том, что потом ИБ-исследователи рассказывают о найденной дыре в безопасности самому владельцу ИТ-системы, получая от него вознаграждение т.е. главное отличие не в методе, а в цели и этичности подхода. При этом такие ИБ-специалисты работают как ИТ-разработчики, только не создают продукты, а улучшают их защищенность.
Тестирование на проникновение (пентест, penetration test) – это моделирование действия хакера, направленное на обнаружение ИТ-уязвимостей в сфере ИБ, и как следствие, повышение уровня защищенности организации. Пентест необходим для проверки ИБ-уровня инфраструктуры компании, а так же требуется банкам и некредитным финансовым организациям (согласно положениям Банка России 683-П, 821-П (719-П), 757-П). Также пентест требуется для обеспечения безопасности значимых объектов критической информационной инфраструктуры (КИИ). В ходе работ ИБ-исследователи ищут критичные уязвимости и недостатки для демонстрации действий потенциального злоумышленника, например эксплуатации уязвимостей и недостатков с целью проникновения во внутренний периметр, получения доступа к чувствительным данным компании, ведомства или получения максимальных привилегий в КИИ.
По информации «Коммерсант», на сегодняшний день, по мнению налоговой службы, ст. 427 НК РФ и ст. 284 НК РФ не содержит понятия «пентест», а значит, льготами такие компании пользоваться не могут. Юрист объясняет, что ФНС не видит оснований для льгот, если в тексте договоров на оказание ее ИТ-услуг нет слов «адаптация» программного обеспечения (ПО) или же «модификация» и «тестирование». Пентест же не всегда предполагает изменение самого исследуемого кода или ПО, а лишь выявление в нем ИТ-уязвимостей, о которых ИТ-компания впоследствии уведомит заказчика. Компании с услугами по пентестам сейчас с трудом подпадают под льготы, и уже есть ситуации, когда налоговая оспаривает их право на них, подтверждает основатель пентест-компании Singleton Security и CyberEd Егор Богомолов.
В настоящее время российские ИТ-компании, включенные в реестр Минцифры России, могут претендовать на налоговые и другие отраслевые льготы. До июля 2024 г. у ИТ-компаний сохранялась нулевая ставка по налогу на прибыль, в июле Правительство России повысило ее до 5% до 2030 г. Как утончили в самом ведомстве, налоговые льготы может получить любая отечественная ИТ-компания, соответствующая необходимым критериям. Для того чтобы претендовать на льготы, компания должна в том числе получать не менее 70% своих доходов от деятельности в области ИТ.
Как считает СЕО пентест-компании DeteAct Омар Ганиев, ИТ-компаниям помогла бы расширенная формулировка в ст. 284 НК РФ о том, что консалтинговые услуги по анализу ИТ-уязвимостей относятся к деятельности по ИТ и эта выручка попадает в подсчет критериев для льготы. Конкретизация видов деятельности и сегментация отрасли поможет оценить динамику ее развития в целом, соглашаются в ИБ-вендоре «Ростелекома» ГК «Солар». Директор департамента по взаимодействию с госсектором Positive Technologies Ирина Панина напоминает ФНС о том, что пентест - это не столько отдельный сегмент, сколько особенная деятельность, которой занимаются высококлассные технические эксперты в ИТ, которых в России на данный момент крайне мало. Если перед государством стоит задача стимулировать защищенность ИТ-систем, компаниям необходимо искать стимулы для развития.
Предпосылки
Летом этого года с таким предложением выступил основатель компании «Лаборатории Касперского» Евгений Касперский, аргументировав это рядом факторов, в том числе ростом ИТ-атак и, как следствие, увеличившейся значимостью вопросов кибербезопасности в стране. По его словам, у кибербезопасности в виде отрасли должны появиться свое нормативное регулирование и бюджетирование.
С начала ведения специальной военной операции (СВО) России на Украине, ИТ можно выделить в отдельный фронт боевых действий. За минувший год количество инцидентов в ИБ-сфере в России выросло более чем на 60%. Фишинговых кибератак и скам-ссылок стало больше в пять раз. По словам экспертов, чаще всего целью хакеров оказываются сфера производства и государственные информационные ресурсы.
Как заявил в этом месяце директор Федеральной службы безопасности (ФСБ) Александр Бортников, Запад активизировал кибероперации против России. По его словам, киберугрозы со стороны иностранных государств значительно возросли, что представляет собой серьезную опасность для национальной безопасности. В последние годы наблюдается увеличение числа атак на важнейшие государственные и инфраструктурные объекты, финансовые учреждения и предприятия, оказывающие услуги населению. Эти операции направлены на дестабилизацию ситуации в стране, подрыв доверия к государственным институтам и создание паники среди населения.
В 2023 г. многие интернет-источники растиражировали публикацию главного управления разведки (ГУР) Министерство обороны Украины о якобы произошедшем взломе системы ФНС России. Однако в действительности публикации оказались фейком. Как оказалось со временем, вся эта кибероперация была лишь попыткой взять на себя ответственность за временный сбой в работе ИТ-системы, который произошел по вине сотрудников ИТ-отдела. Первое, что следует отметить в этом случае, это то, что со временем методы кибератак на ИТ-системы становятся все более совершенными. Хорошая работа российских ИТ-компаний занимающихся пентестом может быть одной из причин отсутствия скандалов со взломами российских сайтов. Конечно, случаются локальные инциденты из-за человеческой халатности на местах, но даже при этом основной периметр ИТ-защиты остается нетронутым.
Хоть сейчас и ИБ, будучи частью ИТ-индустрии, дает возможность профильным ИТ-компаниям пользоваться предусмотренными для отрасли льготами. Однако и разделение ИТ-компаний и ИБ-компаний также имеет свои преимущества. Например, возможные налоговые льготы только для ИБ-компаний предполагают меньший объем выпадающих налоговых доходов.