Поделиться
Российских «белых» хакеров будут сажать на долгие годы за слив посторонним информации о найденных уязвимостях. Закон почти готов
К внесению в Госдуму готовится новый пакет законопроектов для регулирования деятельности «белых» хакеров. Один из них предполагает гигантские штрафы и тюремное заключение сроком на пять лет за разглашение информации о найденных уязвимостях. В России развито сообщество «белых» хакеров – есть несколько площадок, где они работают, а среди заказчиков даже госструктуры, в том числе Минцифры.
Взломал, проболтался – на нары
В России разработан новый набор законопроектов, регулирующих деятельность «белых» хакеров. Как пишет профильный портал SecPost, один из документов предлагает лишать их свободы на пять лет, если они раскроют информацию об уязвимостях третьим лицам, то есть «сольют» ее. Все законопроекты готовятся к внесению на рассмотрение в Госдуму.
«Белые» хакеры, также известные, как «этичные», занимаются взломом информсистем, веб-сервисов, ПО, и пр. чаще всего по просьбе их владельцев. Подавляющее большинство таких хакеров работают за деньги – заказчик платит им на нахождение уязвимостей, чтобы затем устранить их. Часто услуги «белых» хакеров обходятся намного дешевле потерь (финансовых, репутационных и пр.) в результате взлома обычными киберпреступниками.
В России есть несколько крупных площадок, на которых компании, а также госструктуры размещают заказы для «белых» хакеров и указывают сумму вознаграждения. Среди заказчиков присутствует и Минцифры России.
По прогнозам SecPost, новый пакет законопроектов вступит в силу 1 марта 2026 г.
Подробнее о будущем законе
По информации SecPost, документ, предписывающий отправлять «белых» хакеров за решетку в качестве ответной меры за слив информации об уязвимостях, содержит несколько градаций наказания. Самая базовая из них – это штраф в размере до 1 млн руб.
Те, кому повезет меньше, отправятся в тюрьму на срок до трех лет. Если же суд признает, что утечка данных – дело рук организованной группы или группы лиц по предварительному сговору, то максимальный срок заключения вырастет до пяти лет.
Также на пять лет «белый» хакер может оказаться в камере, если утечка повлекла за собой крупный ущерб или тяжкие последствия. «Это касается и случаев, когда будет доказано, что преступление совершили из корыстных побуждений», – пишет SecPost.
Реализовано перечисленное будет посредством внедрения в УК РФ новой статьи о «неправомерной передаче информации об уязвимостях сайта или страницы сайта в интернете, информационной системы, программы для ЭВМ, которые могут быть использованы для несанкционированного доступа к информации, ее уничтожения, модифицирования, распространения, блокирования, копирования, предоставления».
Еще ничего не готово
В Минцифры фактически подтвердили SecPost существование нового законопроекта, по которому «белый» хакер может отправиться в тюрьму. Представители ведомства сообщили SecPost, что документ может претерпеть различные изменения в процессе рассмотрения «с учетом обсуждения предложений отрасли и заинтересованных ведомств».
Напомним, все законопроекты в России становятся законом лишь после трех чтений в Госдуме, рассмотрения в Совете Федерации и получения подписи главы государства.
«Что касается рисков привлечения таких специалистов к работе по улучшению ИТ-инфраструктуры, именно для этого проработка законопроекта проходит в постоянном диалоге государства и отрасли, чтобы получить наибольший эффект от деятельности независимых исследователей, обладающих специальными знаниями, и при этом обеспечить необходимые меры безопасности, а также соблюсти интересы владельцев ИТ-инфраструктуры», – сказали SecPost представители Минцифры.
Очередная попытка
На момент выхода материала деятельность «белых» хакеров на территории России никак не регулировалась. Власти предпринимали несколько попыток внедрить в действующее законодательство необходимые для этого изменения, но пока они ни к чему не привели.
В декабре 2023 г. в Госдуму был внесен законопроект о деятельности «этичных» хакеров. Спустя почти год, осенью 2024 г., он прошел первое чтение, но затем его рассмотрение было приостановлено.
В июле 2025 г., как сообщал CNews, законопроект был отклонен в связи с рекомендацией комитета Госдумы по государственному строительству и законодательству. По оценке комитета, документ в той редакции, в которой он прошел первое чтение, не учитывает современные особенности защиты гостайны и критической информационной инфраструктуры (КИИ – информсистемы госорганов, транспортных, энергетических, финансовых других компаний).
Роль ФСБ
В конце октября 2015 г. CNews писал о разработке новой версии законопроекта о легализации «белых» хакеров, которая предполагает полную передачу регулирования всех мероприятий по поиску уязвимостей силовому блоку, точнее, Федеральной службе безопасности (ФСБ), а Федеральной службе по техническому и экспортному контролю (ФСТЭК) и Национальному координационному центру по компьютерным инцидентам (НКЦКИ).
По данным SecPost, в новых законопроектах сказано, что «роль ФСБ не будет ограничиваться только предварительным следствием по незаконной передаче данных об уязвимостях». В числе прочего ФСБ и ФСТЭК проработают правила организации и проведения санкционированных хакерских атак – именно такие атаки и устраивают «белые хакеры».
Под этими правилами подразумеваются требования к «белым» хакерам, а заодно к их идентификации и аутентификации «в целях привлечения к проведению таких мероприятий, требованиях к информационным системам, используемым для привлечения тестировщиков, и их операторам, порядку и срокам направления информации об уязвимостях информресурсов в службы».
Также есть вероятность, что именно ФСБ и ФСТЭК предоставят право внедрять условия проведения кампаний по поиску уязвимостей в госсекторе, компаниях с госучастием, системообразующих предприятиях, а также в субъектах КИИ.
Согласны не все
Новый комплекс инициатив властей о регулировании деятельности «белых» хакеров получил смешанные отзывы участников рынка. К примеру, в «Мегафоне» его поддержал. «По нашим оценкам, после введения новых правил рынок не сократится, потому что открытый реестр повысит прозрачность и доверие клиентов, а стандартизация привлечет новых заказчиков из госсектора и крупного бизнеса», – сказали SecPost представители оператора.
В то же время архитектор информационной безопасности UserGate Дмитрий Овчинников одобрил не все идеи властей. В частности, он выступил против вероятного создания единого реестра «этичных» хакеров – по его мнению, это может негативно отразиться на самой идее привлечения «белых» хакеров к поиску уязвимостей, «так как включение ИБ-специалиста в подобный реестр может вызвать разные жизненные неудобства, которые сейчас сложно спрогнозировать».
Короткая ссылка
