Поделиться
Российские власти предложили две формы поиска уязвимостей, чтобы легализовать «белых хакеров»
В Совете Федерации предлагают Министерству цифрового развития, связи и массовых коммуникаций России ряд мер для легализации работы «белых хакеров». Например, там видят целесообразным ввести в регулирование «инициативную» форму их сотрудничества с владельцами ИТ-систем, которая позволит исследователям находить уязвимости и уведомлять о них без юридических рисков.
Обелить деятельность
Российские власти стремятся легализовать «белых хакеров», которые занимаются поиском уязвимостей в программном обеспечении компаний, пишет «Коммерсант». В Совете Федерации предложили две формы поиска уязвимостей.
Журналисты «Коммерсант» ознакомились с письмом первого зампреда комитета Совфеда по конституционному законодательству и госстроительству Артема Шейкина замглавы Минцифры Ивану Лебедеву о регулировании деятельности «белых хакеров» и их работе, в том числе в рамках платформы Bug Bounty (для поиска уязвимостей в ИТ-системах за вознаграждение). Документ был направлен 25 марта 2025 г. Так, Шейкин предлагает ввести две формы поиска уязвимостей: закрытую (с привлечением ограниченного круга исследователей) и открытую (с привлечением неограниченного числа исследователей), следует из письма.
Артем Шейкин поясняет, что программы Bug Bounty не являются обязательными, а работа «белых хакеров» не регулируется законом на официальном уровне. По его мнению, помимо двусторонних договорных отношений между экспертами и заказчиками, а также трехсторонних (когда заказчик использует платформу Bug Bounty, которая затем подключает независимых специалистов), необходимо предусмотреть возможность «инициативных действий» со стороны исследователей. Такие действия подразумевают самостоятельное обнаружение уязвимостей с последующей передачей данных о них владельцам соответствующих ИТ-систем и программ.
В Совете Федерации предлагают Министерству цифрового развития, связи и массовых коммуникаций (Минцифры) России ряд мер для легализации работы «белых хакеров» — специалистов по поиску уязвимостей в ИТ-системах за вознаграждение. Например, там видят целесообразным ввести в регулирование «инициативную» форму их сотрудничества с владельцами ИТ-систем, которая позволит исследователям находить уязвимости и уведомлять о них без юридических рисков. В 2024 г. в Госдуму уже внесен законопроект, о чем уведомлял CNews, который должен снять ряд спорных вопросов к деятельности «белых хакеров», но после прохождения проекта в первом чтении прошлой осенью документ не обсуждался.
В Минцифры сообщили «Коммерсант», что предложения прорабатываются вместе с заинтересованными ведомствами и отраслями. В министерстве считают целесообразным урегулировать статус «белого хакера», а также предусмотреть на законодательном уровне ответственность в случае нарушения условий деятельности. Это позволит обеспечить возможность привлечь «белых хакеров» для оценки защищенности и исключить риски для владельцев информсистем, добавили в Минцифры.
Формирование реестра
Как писал CNews летом 2024 г., Совет Федерации, Федеральная служба безопасности (ФСБ) России, Министерство внутренних дел (МВД) России и компании, занятые в сфере информационной безопасности (ИБ), изучают возможность создания реестра «белых хакеров» для легализации их деятельности в стране.
По мнению профильных юристов, сейчас в Уголовном кодексе (УК) России есть целый ряд статей, под которые может подпадать деятельность «белых хакеров». В их числе «неправомерный доступ к компьютерной информации», «создание, использование и распространение вредоносных компьютерных программ», «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации». Для того чтобы легализовать «белых хакеров», Минцифры России придется вносить изменения в несколько статей УК и прописывать там, что действия «белых хакеров» не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции.
Отзывы на рынке
В компании F6 (ранее Group-IB) пояснили, что в отсутствие соответствующей юридической базы «белым хакерам» приходилось либо заключать договоры гражданско-правового характера (ГПХ), либо работать через специализированные компании, которые привлекают их на договорной основе. Тем не менее, множество ситуаций, не охваченных такими договорными отношениями, по-прежнему вызывает вопросы и остаются неурегулированным и на март 2025 г.
«Информация об ошибке есть, договора нет: нужно сообщить об угрозе, но реакция получателя информации может быть самой разной, вплоть до привлечения к уголовной ответственности исследователя»,— приводит пример независимый эксперт по кибербезопасности Андрей Брызгин.
Директор по развитию сервисов кибербезопасности компании «Бастион» Алексей Гришин считает, что создание реестра позволит оценивать и грамотно выстраивать условия работы «белых хакеров». На данный момент компании в этой сфере ориентируются на квалификацию специалистов, подтвержденную международными сертификатами, такими как Offensive Security Certified Professional (OSCP) и Certified Ethical Hacker (CEH). «Люди, работающие в этой области информационной безопасности (ИБ) и обладающие такими сертификатами, уже включены в международные списки «белых хакеров», которые в России недоступны», — поясняет он.
В то же время основатель BugBounty.ru Лука Сафонов предостерегает, что появление российского реестра «белых хакеров» может обернуться для ИТ-специалистов включением в санкционные списки.
Введение же реестра для «белых хакеров» на базе «Госуслуг» при этом в отрасли оценивают неоднозначно. Руководитель департамента аудита и консалтинга F6 Евгений Янов видит в этом повышение порога вхождения в профессию, что, в свою очередь, снижает привлекательность ее для молодых ИТ-специалистов, и риск избыточной бюрократизации рынка в России.
Короткая ссылка
