Разделы

Бизнес Законодательство Кадры Интернет ИТ в госсекторе Техника

В России легализуют «белых» хакеров для тестирования ИТ-систем госорганов и критической инфраструктуры

В Госдуме готов к внесению законопроект, направленный на легализацию работы «белых хакеров». Привлечение их к тестированию ИТ-систем госорганов и субъектов КИИ может стать не просто легальным, но обязательным.

Закон о «белых хакерах» готов к внесению в Госдуму

Комитет Госдумы по информполитике, ИT и связи разрабатывает законопроект о внесении изменений в ст. 16 149-ФЗ «Об информации», уточняющий, на каких основаниях компании, в том числе имеющие статус КИИ, и госорганы вправе привлекать «белых хакерах» и использовать платформы Bug Bounty (тестирование систем на проникновение). С документом ознакомился «Коммерсант».

Член комитета Госдумы по информполитике, ИT и связи Антон Немкин уточнил изданию, что проект готов к внесению и проходит последние согласования.

«Нужно понимать, что сейчас легализация "белых хакеров" — необходимость, так как компании уже пользуются их услугами», — подчеркнул он.

Изменения в закон «Об информации»

Первый проект закона о легализации работы «белых хакеров» (поправки к ст. 1280 четвертой части ГК РФ) уже был внесен в Госдуму в декабре 2023 г. Он касался права компаний привлекать таких специалистов, но не описывал организацию процесса.

«Белых» хакеров можно и нужно будет привлекать к тестированию ИТ-систем госорганов и субъектов КИИ

Согласно новому документу, организовать такую проверку компании смогут как через прямое соглашение с лицами, привлекаемыми для тестирования («белыми хакерами»), так и разместив договор публичной оферты для привлечения специалистов.

Правительство получит полномочия «устанавливать требования к порядку и условиям» проведения тестирований «белыми хакерами». Они распространятся на госорганы, в том числе субъектов России, органы местного самоуправления и субъекты КИИ.

Все мероприятия должны будут согласовываться федеральным органом власти в области безопасности, сказано в законопроекте. Собеседник газеты на рынке кибербезопасности считает, что под таким органом подразумевается ФСБ.

Плюсы легализации

Минцифры выступило с предложением поддержать «белых хакеров», занимающихся взломом с целью обнаружения уязвимостей для их последующего устранения, в марте 2022 г. на фоне обрушившейся на российскую инфраструктуру волны кибератак.

«Контролируемый "белый хакинг" государственных организаций наряду с выходом на Bug Bounty позволит выявлять критичные проблемы более оперативно и акцентировать внимание на инвестиции в усиление безопасности госсектора», — считают в компании Angara Security. Там также уточнили, что более 40% нападений на ИT-инфраструктуру ведомств связаны с вредоносным ПО, фишингом и DDoS-атаками на сетевое оборудование, сайты и серверы.

Сейчас в России существует несколько суверенных площадок багбаунти, где компании и даже госструктуры, например, Минцифры, заказывают услуги «белых» хакеров. Также среди заказчиков есть и крупнейшие российские ИТ-гиганты – «Яндекс», VK, Ozon и др.

Однако в правовом поле страны само понятие Bug Bounty отсутствует, что делает работу «белых хакеров» на территории России весьма рискованной и они открыто говорят, что боятся уголовного преследования.

По данным Немкина этот рынок в России пока очень мал, его объем в 2023 г. не превысил 200 млн руб.

Мнения против

Против легализации «белых хакеров» в осенью 2023 г., когда обсуждались поправки в УК, совместно выступали Министерство внутренних дел, Генпрокуратура России и Следственный комитет.

Они утверждали, что поправки в УК России, которые могли бы легализовать этичных хакеров, излишни, что вина за таким специалистом будет признана только, если он совершает взлом с целью причинения ущерба. А в случае принятия поправок обычные хакеры могут начать выдавать себя за этичных.

Есть опасения и у представителей компаний КИИ. Их смущает перспектива введения новых требований по проверкам «белыми хакерами». Тогда предприятия «будут вынуждены изыскивать деньги на модернизацию, пускать в свои системы "белых” хакеров, а главное — нести ответственность, если они что-то нарушат», сказал «Ведомостям» коммерческий директор «Уралэнерготела» Игорь Голенький.

Анна Любавина