В России разработан новый вариант законопроекта о легализации деятельности так называемых «белых» хакеров - специалистов по поиску уязвимостей в информационных системах. Согласно документу, регулирование этой сферы может быть полностью передано силовым ведомствам, включая Федеральную службу безопасности. Об этом сообщили два источника РБК в государственных органах и отрасли информационной безопасности.
Инициатива предполагает создание единой системы государственного регулирования для всех видов исследовательской работы по поиску уязвимостей. Речь идет о специалистах, которых компании привлекают к тестированию своих информационных систем на уязвимости самостоятельно или через специализированные платформы bug bounty (программа вознаграждений за обнаружение ошибок).
В новой версии законопроекта вводится понятие «мероприятие по поиску уязвимостей», которое, по словам собеседников издания, «может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение». Под это определение попадут коммерческие программы bug bounty, внутренние программы поиска уязвимостей, независимые исследования отдельных специалистов и тестирование на проникновение (пентесты), которые в настоящее время проводятся в рамках договорных отношений.
Согласно проекту, регулирование всех «мероприятий по поиску уязвимостей» планируется передать Федеральной службе безопасности, Федеральной службе по техническому и экспортному контролю и Национальному координационному центру по компьютерным инцидентам. Эти ведомства получат право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей, независимо от того, являются ли программы коммерческими, внутренними или касаются критически важной инфраструктуры.
Речь идет об обязательной идентификации и верификации «белых» хакеров, правилах аккредитации организаций, проводящих мероприятия по поиску уязвимостей, правилах обработки и защиты данных о найденных уязвимостях, а также регламенте передачи информации об уязвимостях владельцу ресурса и государственным органам.
Списки операторов, соответствующих установленным требованиям, будут публиковаться на сайтах силовых ведомств. Работа вне аккредитованных площадок, а также деятельность компаний, не соответствующих правилам, будет запрещена. Кроме того, предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам.
В статью 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, согласно которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление.
По словам одного из собеседников РБК, также обсуждается создание реестра «белых» хакеров. Однако представитель Минцифры сообщил, что к ним не поступало предложений по созданию такого реестра. «Проектируемые изменения предусматривают «легализацию» деятельности «белых» хакеров, что исключает возможные негативные последствия при осуществлении ими своей деятельности. До принятия закона и подписания его президентом документ может меняться с учетом предложений отрасли и заинтересованных ведомств», - отметил представитель министерства.
Обсуждение легализации «белых» хакеров продолжается с 2022 года, когда Минцифры начало прорабатывать возможность ввести в правовое поле понятие bug bounty. В феврале 2023 года экс-глава комитета Госдумы по информационной политике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России, должны быть освобождены от ответственности. Однако уже в марте того же года стало известно, что против инициативы выступили ФСБ и ФСТЭК. В ноябре 2023 года Генпрокуратура, МВД и Следственный комитет также выразили несогласие с предложениями о легализации создания и использования вредоносного программного обеспечения «белыми» хакерами по заданию заказчика.
Критики инициативы указывали, что хакеры-злоумышленники могут начать предъявлять документы о заключении договора на тестирование программного обеспечения, чтобы доказать свою невиновность, что затруднит их привлечение к ответственности. Новый законопроект призван решить эти правовые коллизии, установив четкие правила работы для специалистов по информационной безопасности.
Эксперты отмечают, что предлагаемые изменения могут существенно повлиять на рынок кибербезопасности в России, создав более прозрачные и регулируемые условия для деятельности «белых» хакеров, но одновременно увеличив административную нагрузку на компании и специалистов, работающих в этой сфере.
