Минцифры задумалось о законодательном «обелении» работы белых хакеров

Минцифры собирается легализовать работу хакеров по выявлению уязвимостей информационных систем. Оно намерено ввести в законодательное и правовое пространство понятие bug bounty, тем самым освободив так называемых белых хакеров от риска уголовного преследования и сделав законными выплаты им за поиск багов. Об этом пишут «Ведомости» со ссылкой на источники в IT-отрасли. 

Белыми хакерами называют специалистов по кибербезопасности, которые тестируют информсистемы на наличие уязвимостей. Цель их работы — помощь разработчикам в обеспечении защищенности программных решений. Белые хакеры работают по программе bug bounty и получают вознаграждение за нахождение ошибок.

Однако их действия могут толковать и как неправомерный доступ к компьютерной информации, то есть состав преступления, предусмотренный статьей 272 Уголовного кодекса, рассказал один из собеседников газеты. Технический директор АО «Синклит» Лука Сафонов отметил, что легализация bug bounty позволит распространить программы выплат белым хакерам и на тестирование государственных систем.  

Инструмент, который обсуждает Минцифры, должен стать одним из стандартов оценки реальной защищенности организаций как коммерческих, так и государственных, считает руководитель проекта The Standoff от Positive Technologies Ярослав Бабин. Отсутствие понятия bug bounty на законодательном уровне создает проблему, отметил бизнес-консультант по безопасности Алексей Лукацкий.

По его словам, осуществление деятельности по поиску уязвимостей (bug bounty, red team, пентест и т. п.) — «это всегда деятельность на грани». Попытку «загнать эту тему в правовое русло можно только приветствовать», заметил Лукацкий. В апреле Минцифры предложило обсудить прямую финансовую поддержку белых хакеров. Ведомство выступило с инициативой выделить деньги на проведение так называемых пентестов (анализ системы на наличие уязвимостей) и bug bounty (выплата вознаграждения за их обнаружение).