В России могут законодательно закрепить деятельность «белых хакеров» — специалистов по кибербезопасности, которые ищут уязвимости в IT-системах и программном обеспечении с целью их устранения. Сенатор Артём Шейкин направил заместителю министра цифрового развития Ивану Лебедеву предложения по регулированию их работы, сообщает «Коммерсантъ».
Что предлагают в Совфеде?
Главная инициатива сенатора заключается в создании законных механизмов взаимодействия «белых хакеров» с владельцами IT-систем. В частности, предлагается:
- Ввести закрытую и открытую формы поиска уязвимостей. Первая предполагает работу ограниченного круга специалистов, вторая — публичный доступ к исследованию уязвимостей.
- Обязать операторов и владельцев IT-систем публиковать специальную форму для уведомления об обнаруженных уязвимостях.
- Рассмотреть возможность идентификации «белых хакеров» через портал «Госуслуги» (ЕСИА).
По мнению Шейкина, существующие правовые нормы не защищают «белых хакеров» от возможных обвинений в киберпреступлениях, что мешает развитию сферы кибербезопасности в стране.
Что такое Bug Bounty и зачем оно нужно?
Bug Bounty — это программа вознаграждения за обнаруженные уязвимости в программном обеспечении и IT-инфраструктуре. Компании, заинтересованные в защите своих систем, предлагают хакерам-исследователям премии за найденные ошибки, которые могут представлять угрозу безопасности.
В 2023 году выплаты «белым хакерам» на российской платформе Bug Bounty от компании BI.Zone составили 59 млн рублей. Такие программы уже активно применяются за рубежом, их используют Google, Apple, Microsoft и другие IT-гиганты.
Однако в России проведение Bug Bounty не является обязательным, а работа «белых хакеров» не закреплена в законодательстве. В некоторых случаях компании могут даже добиваться привлечения специалистов к уголовной ответственности за обнаружение и разглашение уязвимостей.
Проблема реестра и бюрократии.
Летом 2023 года обсуждалась идея создания реестра «белых хакеров» для их легализации. Однако мнения экспертов по этому поводу разделились:
- Одни считают, что реестр поможет сформировать прозрачные условия работы и защитит специалистов от преследования.
- Другие уверены, что бюрократия снизит привлекательность профессии для молодых специалистов и ограничит их возможности.
- Также существует риск, что внесение российских специалистов в такой список может привести к введению против них международных санкций.
Когда ждать изменений.
В 2024 году в Госдуму уже вносили законопроект о регулировании работы «белых хакеров». Однако после принятия в первом чтении прошлой осенью дальнейшего обсуждения не последовало.
Сейчас предложения Совфеда находятся на рассмотрении в Минцифры. Если они будут поддержаны, это может стать первым шагом к созданию в России законной и безопасной среды для специалистов в области кибербезопасности.
