Госдума РФ отклонила законопроект о легализации «белых» хакеров. Документ не учитывает нормы о гостайне и безопасности критической инфраструктуры. Минцифры готовит новые предложения по требованиям к поиску уязвимостей и ответственности за их нарушение.
На заседании 8 июля Госдума отклонила законопроект, который должен был легализовать деятельность «белых» хакеров. Решение принято по рекомендации профильного комитета по государственному строительству и законодательству.
Речь идёт о специалистах, которых компании привлекают для тестирования своих информационных систем на уязвимости. Обсуждение легализации «белых» хакеров в России началось летом 2022 года, когда Минцифры прорабатывало введение понятия bug bounty — поиск уязвимостей в ПО за вознаграждение.
12 декабря 2023 года в Госдуму был внесён законопроект № 509 708–8 о легализации «белых» хакеров. В документе было указано, что эксперты по информационной безопасности исследуют программы для ЭВМ. При обнаружении уязвимостей «белые» хакеры должны сообщить об этом правообладателю в течение пяти рабочих дней.
Проект предусматривал возможность анализа уязвимостей без разрешения правообладателей, включая инфраструктурные и заимствованные компоненты, — отмечают авторы инициативы, включая депутата Антона Немкина.
Комитет посчитал, что законопроект от 2023 года не учитывает особенности информационного обеспечения работы госорганов. Работа госорганов регулируется законодательством о гостайне, об информации и о безопасности критической информационной инфраструктуры, включающей сети связи и информационные системы госорганов, транспортных, энергетических, финансовых и других компаний.
Отказ связан с отсутствием изменений в других законах, включая уголовное право. Правительство указало, что для легализации «белых» хакеров нужно комплексно менять законодательство. Эти изменения должны определить правила поиска уязвимостей и снизить связанные риски, но поправки ещё не внесены.
Законопроект предполагал, что о найденных уязвимостям можно сообщать правообладателям программ. В отзыве отмечено, что если правообладатель находится в недружественной юрисдикции, передача данных об уязвимостях может угрожать национальной безопасности.
Минцифры РФ считает целесообразным комплексные изменения по легализации «белых» хакеров. В настоящее время вместе с госорганами обсуждаются требования и правила проведения мероприятий по поиску уязвимостей, а также ответственность за нарушения.
Один из авторов отклонённого проекта, депутат Антон Немкин, планирует повторно внести инициативу в составе пакета законопроектов по статусу и правилам работы пентестеров. Для тестирования систем «белым» хакерам нужно получать разрешения от правообладателей каждой программы. Без таких разрешений тестирование может нарушать авторские права, и хакеров могут обязать выплатить компенсацию.
В марте 2025 года сенатор Артём Шейкин предложил ввести две формы поиска уязвимостей: закрытую и открытую. Он предложил обязать владельцев информсистем публиковать форму для сообщений о найденных уязвимостях. Также обсуждается возможность использовать ЕСИА («Госуслуги») для идентификации «белых» хакеров.
Директор сервисного блока F6 Александр Соколов отметил, что для проработки таких инициатив нужно время и взаимодействие с профессиональным сообществом. Ранее компания предупреждала о рисках неконтролируемой активности легализованных «белых» хакеров. Последствия могут включать отказ в обслуживании систем и передачу информации третьим лицам. Сейчас риски минимальны, если заказчик работает с известной компанией с лицензией ФСТЭК и использует соглашение о неразглашении.
Эксперт «Инфосистемы Джет» Дмитрий Курамин считает, что поиск уязвимостей после отклонения законопроекта возможен, но с оговорками. Преимущество у профессиональных компаний с опытными исследователями и юристами. Каждое исследование несёт потенциальный риск, и без правового регулирования сложно гарантировать безопасность и легитимность.
С 2022 года многие российские компании взаимодействуют с ФСТЭК по регистрации уязвимостей, особенно по российскому ПО. Иностранных производителей оповещают после публикации ФСТЭК информации в Банке данных угроз. Для такого ПО нужны особые правила, например обязательная сертификация и контроль раскрытия уязвимостей.
Менеджер MD Audit Кирилл Лёвкин отметил, что работа «белых» хакеров доказала эффективность. Многие крупные компании получают отчёты об уязвимостях вне формальных проверок, что помогает предотвратить атаки. Сейчас «белые» хакеры работают в правовом вакууме. Для безопасности и пользы необходимо создать механизм признания добросовестного поиска уязвимостей, защиту от необоснованного преследования и легальные каналы передачи информации, включая работу с зарубежными вендорами.
Источник: habr.com