Ведомство собирается закрепить в правовом поле понятие bug bounty. Эксперты по безопасности смогут вести свою работу, не рискуя получить штраф или ограничение свободы.
Грядущие изменения
По информации «Ведомостей», Министерство цифрового развития планирует ввести нормы, которые позволят независимым специалистам по поискам уязвимостей легально заниматься тестированием систем защиты сторонних организаций и получать вознаграждение за найденные баги. Сейчас «белые» хакеры за такую деятельность рискуют стать обвиняемыми в уголовном преступлении по статье 272 УК РФ («неправомерный доступ к компьютерной информации»).
В текущем законодательстве наблюдается расхождение по ответственности за взлом. Однако при подготовке изменений в правовом поле ведомство может установить некоторые ограничения для экспертов по безопасности. К примеру, при тестировании государственных систем белый хакер не будет рисковать привлечением к уголовной ответственности, если он:
- имеет гражданство РФ;
- зарегистрирован в Единой системе идентификации и аутентификации;
- получил рекомендации от одной из компаний в сфере информационной безопасности.
Минцифры и ранее выступало за поддержку этичных хакеров. Министерство организовало оперативный штаб по обеспечению информационной безопасности и предложило крупным российским компаниям начать поддержку независимых компьютерных специалистов. Программы, предусматривающие выплату вознаграждений за обнаруженные уязвимости в отечественном ПО и ИТ-системах, уже запустили «Киберполигон» и Positive Technologies.
Небезопасная работа
За границей работа белых хакеров определяется как bug bounty, что позволяет им действовать легально, применять специальные программы и дорабатывать их, и получать вознаграждение. Это возможно благодаря законодательному регулированию. По мнению представителей ИТ-отрасли, сейчас российским компаниям проще обвинить эксперта во взломе, чем платить за обнаружение багов.
В России действия этичных хакеров действительно попадают в поле зрения правоохранительных органов. В августе 2021 году ФСБ возбудила уголовное дело о попытке взлома систем «Ростеха». В совершении преступления ведомство подозревает Никиту Демидова, бывшего сотрудника техподдержки интернет-провайдера «Макснет Системы».
Инженер утверждает, что не собирался взламывать компьютерную сеть. Он намеревался помочь организации защититься от внешних угроз, проверяя роутеры на наличие уязвимостей.