В России легализуют «белых» хакеров для тестирования ИТ-систем госорганов и критической инфраструктуры

Закон о «белых хакерах» готов к внесению в Госдуму
Комитет Госдумы по информполитике, ИT и связи разрабатывает законопроект о внесении изменений в ст. 16 149-ФЗ «Об информации», уточняющий, на каких основаниях компании, в том числе имеющие статус КИИ, и госорганы вправе привлекать «белых хакерах» и использовать платформы Bug Bounty (тестирование систем на проникновение).
Член комитета Госдумы по информполитике, ИT и связи Антон Немкин уточнил изданию, что проект готов к внесению и проходит последние согласования. «Нужно понимать, что сейчас легализация «белых хакеров» — необходимость, так как компании уже пользуются их услугами», — подчеркнул он.

Изменения в закон «Об информации»
Первый проект закона о легализации работы «белых хакеров» (поправки к ст. 1280 четвертой части ГК РФ) уже был внесен в Госдуму в декабре 2023 г. Он касался права компаний привлекать таких специалистов, но не описывал организацию процесса. Согласно новому документу, организовать такую проверку компании смогут как через прямое соглашение с лицами, привлекаемыми для тестирования («белыми хакерами»), так и разместив договор публичной оферты для привлечения специалистов.
Правительство получит полномочия «устанавливать требования к порядку и условиям» проведения тестирований «белыми хакерами». Они распространятся на госорганы, в том числе субъектов России, органы местного самоуправления и субъекты КИИ.
Все мероприятия должны будут согласовываться федеральным органом власти в области безопасности, сказано в законопроекте. Собеседник газеты на рынке кибербезопасности считает, что под таким органом подразумевается ФСБ.

Плюсы легализации
Минцифры выступило с предложением поддержать «белых хакеров», занимающихся взломом с целью обнаружения уязвимостей для их последующего устранения, в марте 2022 г. на фоне обрушившейся на российскую инфраструктуру волны кибератак.
«Контролируемый «белый хакинг» государственных организаций наряду с выходом на Bug Bounty позволит выявлять критичные проблемы более оперативно и акцентировать внимание на инвестиции в усиление безопасности госсектора», — считают в компании Angara Security. Там также уточнили, что более 40% нападений на ИT-инфраструктуру ведомств связаны с вредоносным ПО, фишингом и DDoS-атаками на сетевое оборудование, сайты и серверы.
Сейчас в России существует несколько суверенных площадок багбаунти, где компании и даже госструктуры, например, Минцифры, заказывают услуги «белых» хакеров. Также среди заказчиков есть и крупнейшие российские ИТ-гиганты – «Яндекс», VK, Ozon и др. Однако в правовом поле страны само понятие Bug Bounty отсутствует, что делает работу «белых хакеров» на территории России весьма рискованной и они открыто говорят, что боятся уголовного преследования. По данным Немкина этот рынок в России пока очень мал, его объем в 2023 г. не превысил 200 млн руб.

Мнения против
Против легализации «белых хакеров» в осенью 2023 г., когда обсуждались поправки в УК, совместно выступали Министерство внутренних дел, Генпрокуратура России и Следственный комитет. Они утверждали, что поправки в УК России, которые могли бы легализовать этичных хакеров, излишни, что вина за таким специалистом будет признана только, если он совершает взлом с целью причинения ущерба. А в случае принятия поправок обычные хакеры могут начать выдавать себя за этичных.
Есть опасения и у представителей компаний КИИ. Их смущает перспектива введения новых требований по проверкам «белыми хакерами». Тогда предприятия «будут вынуждены изыскивать деньги на модернизацию, пускать в свои системы «белых» хакеров, а главное — нести ответственность, если они что-то нарушат», сказал «Ведомостям» коммерческий директор «Уралэнерготела» Игорь Голенький.

Источник: https://cnews.ru/link/n596366
Дата: 02.04.2024