Новые законодательные инициативы Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации вызвали серьёзную озабоченность среди компаний и экспертов в области информационной безопасности. Речь идет о втором пакете антифродовых мер, опубликованном 26 августа на портале regulation.gov.ru, который, помимо борьбы с телефонным мошенничеством, предполагает введение запрета на распространение информации о методах проведения кибератак.
Согласно проекту документа, предлагается дополнить статью 15.3 Федерального закона «Об информации, информационных технологиях и о защите информации» положением, запрещающим распространение сведений, предназначенных для несанкционированного уничтожения, блокирования, модификации или копирования информации и программ, а также данных, позволяющих получить доступ к программному обеспечению, используемому для этих целей. Примечательно, что эта же статья уже содержит запреты на распространение ложных сообщений об актах терроризма и материалов с призывами к массовым беспорядкам.
Эксперты отрасли видят в данной инициативе прямую угрозу деятельности так называемых «белых хакеров» - специалистов по легальному поиску уязвимостей в информационных системах. По словам управляющего директора по работе с государственными органами Positive Technologies Игоря Алексеева, запрет доступа к информации о методах атак для профессионалов сопоставим с запретом токсикологам изучать поражающие факторы отравляющих веществ. Он подчеркивает, что такая мера существенно ограничит возможности специалистов по противодействию киберугрозам.
Директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко отмечает, что работа исследователей информационной безопасности всегда балансировала на тонкой грани, но до сих пор существовало негласное понимание: деятельность в рамках программ Bug Bounty (программы вознаграждений за обнаружение уязвимостей) или по договорам не вызывала проблем. Однако новые поправки создают механизм блокировки профильной информации, что неизбежно приведет к дополнительным рискам для специалистов.
Бизнес-консультант Positive Technologies Алексей Лукацкий подтверждает, что предлагаемые формулировки создают правовую неопределённость для «белых хакеров». Это особенно тревожно на фоне текущего обсуждения отдельного законопроекта о легализации их деятельности, который учитывает предложения регуляторов, бизнеса и экспертного сообщества.
Юристы также выражают озабоченность потенциальными последствиями нововведений. Генеральный директор юридической компании Enterprise Legal Solutions Анна Барабаш указывает, что сфера Bug Bounty оказывается в группе риска, несмотря на свой значительный потенциал развития. Она отмечает, что государство, с одной стороны, признаёт потребность в специалистах по кибербезопасности и работает над исключением двойных толкований в законодательстве, но с другой - предлагаемые меры могут породить новую волну правовой неопределённости.
Второй пакет антифродовых мер включает около 20 инициатив. Среди них - передача в единую систему записей телефонных разговоров с признаками противоправных действий, создание базы подозрительных номеров и ограничение количества банковских карт до десяти на одного гражданина.
В Министерстве цифрового развития поясняют, что бесконтрольное распространение информации о методах атак несёт значительные риски для кибербезопасности и может быть использовано для атак на критически важные системы государства и бизнеса. Ограничением такой информации уже занимаются Роскомнадзор и Генпрокуратура. В аппарате вице-премьера Дмитрия Григоренко добавляют, что инициатива создаст правовой барьер для киберпреступников, снизит количество успешных атак и позволит правоохранительным органам эффективнее блокировать каналы распространения вредоносного программного обеспечения.
Позднее в Минцифры уточнили, что запрет направлен исключительно на распространение информации о способах кибератак, а не на профессиональную деятельность «белых хакеров». Тем не менее, экспертное сообщество продолжает выражать сомнения в точности формулировок и возможных последствиях их применения на практике. Сложившаяся ситуация требует дальнейшего внимательного анализа и возможной корректировки предлагаемых норм для сохранения баланса между безопасностью и развитием отечественной кибербезопасности.
