Компании смогут официально привлекать таких взломщиков к выявлению уязвимостей информсистем.
«Белым» хакерам облегчат работу — законопроект о легализации таких взломщиков в ближайшее время будет внесен в Госдуму, узнали «Известия». Им разрешат проводить тестирование информационных систем компаний и организаций в случае такого запроса от них. Понятие Bug Bounty (поиск уязвимостей в ПО) до сих пор не было введено в правовое поле, теперь это значительно расширит спектр работы с программами и избавит таких специалистов от риска уголовной ответственности, считают эксперты.
Легальные тесты
В Госдуму в ближайшее время будет внесен законопроект депутатов фракций «Единая Россия» и «Новые люди», который облегчит работу «белых» хакеров — компании смогут официально привлекать добросовестных взломщиков к проведению мероприятий по выявлению слабых мест информационных систем. Речь идет о внесении изменений в статью 16 ФЗ «Об информации, информационных технологиях и о защите информации». С проектом и пояснительной запиской к нему ознакомились «Известия».
Депутаты рассчитывают на рассмотрение документа нижней палатой парламента до конца весенней сессии. В Минцифры подтвердили «Известиям», что участвуют в обсуждении инициативы.
В документе говорится, что испытания на уязвимости проводятся как в форме тестирования на проникновение в информационную систему, при котором заказчик поручает исполнителю отработать различные сценарии, так и продемонстрировать практическую возможность реализации определенных угроз информационной безопасности. Также тесты могут быть реализованы в форме уже действующей программы Bug Bounty, когда заказчик предлагает провести такую работу сторонним специалистам.
По словам одного из авторов законопроекта, депутата Антона Немкина, сегодня услугами «белых» хакеров уже пользуются некоторые компании: «Яндекс», Ozon, VK, «Тинькофф». В России существуют определенные риски для работы добросовестных взломщиков, поэтому они с осторожностью выходят из тени, подчеркнул депутат.
Понятие Bug Bounty до сих пор не было введено в правовое поле, из-за чего спектр тестирования программ на уязвимость сильно сужен и несет риски привлечения «белых» хакеров как к гражданской, так и к уголовной ответственности, объяснил управляющий партнер экспертной группы Veta Илья Жарский.
Например, для проверок на уязвимости необходимо получать множество разрешений от правообладателя информсистемы. В случае же их отсутствия за такую работу могут быть выписаны штрафы и применены иные санкции, рассказал эксперт. Он отметил, поправки дают «белым» хакерам и потенциальным заказчикам больше свободы для реализации защиты своих систем и охраны личных данных пользователей, баз данных госведомств и остального заинтересованного в этих поправках бизнеса.
Сегодня с помощью Bug Bounty госкомпании и бизнес привлекают сторонних специалистов для обнаружения таких слабых мест в ПО. Так, во VK сообщали, что в 2023 году заплатили таким исследователям безопасности более 34 млн рублей. Всего соцсеть обработала более 1,5 тыс. отчетов, а также добавила в программу три новых сервиса — Skillfactory, умная колонка VK Капсула и VK Customer Experience Hub.
«Яндекс» сообщал, что в прошлом году этичным хакерам выплатил 70 млн рублей — это почти вдвое больше, чем годом ранее. В 2023-м в программе «Охота за ошибками» (постоянная программа компании по премированию этичных хакеров) поучаствовали 528 исследователей. Они прислали 736 отчетов об уязвимостях, которые соответствовали правилам программы. За 378 уникальных и впервые выявленных находок исследователи получили выплаты. Все критичные недочеты были исправлены. В 2024-м компания планирует выделить не менее 100 млн рублей на вознаграждение «белых» хакеров.
Нашелся в правовом поле
В 2023 году в результате появления уязвимостей в IT-системах компаний, которые были обнаружены злоумышленниками, в открытый доступ утекло более 300 млн конфиденциальных данных организаций, рассказал «Известиям» директор компании-разработчика программных продуктов Ideco Дмитрий Хомутов.
Легализация деятельности «белых» хакеров обезопасит их от попадания под статью 272 УК РФ, предусматривающую ответственность за неправомерный доступ к охраняемой законом компьютерной информации, отметил он.
В то же время, по словам эксперта, существуют риски, что злоумышленники могут пытаться мимикрировать под «белых» хакеров, чтобы избежать ответственности.
— Мировая практика показывает, что на законодательном уровне регламентировать их работу выгодно как для тех, кто ищет пробелы в системе организаций, так и для самих предприятий для устранения появившихся уязвимостей. Поэтому подобный закон в России необходим, — подчеркнул он.
Президент ассоциации «Руссофт» Валентин Макаров считает, что «белые» хакеры исполняют полезную функцию — организуют по согласованию с крупными компаниями, банками именно имитацию атак, выявляют слабые места системы, чтобы потом их можно было устранить. Почему к ним относятся как к обычным хакерам, сказать трудно, добавил эксперт.
— Это нормальный процесс, когда легализуют сегмент IT, ведь «белые» хакеры выполняют роль защитников информационных систем от противников, — отметил Валентин Макаров.
IT-компании, входящие в «Руссофт», выполняли такие функции по заказам госструктур, банков и предприятий. Бизнес вынужден идти на полуофициальные схемы, чтобы выявить слабые места и защитить свои системы, рассказал он.
Впрочем, по словам гендиректора TelecomDaily Дениса Кускова, «белый» хакер может не рассказать о какой-то обнаруженной уязвимости системы, а потом ею воспользоваться, но уже в корыстных целях. В этом вопросе важны юридические тонкости, потому что юрлицо, в отличие от физлица, можно всегда наказать, резюмировал он.
