Законопроект о "белых хакерах" застрял на стадии обсуждения из-за позиции ФСБ

Законопроект о "белых хакерах" застрял на стадии обсуждения из-за позиции ФСБ

Введение понятия bug bounty в правовое поле может быть отложено.

image

Принятие законопроекта о "белых хакерах", предлагающего ввести понятие bug bounty в правовое поле и изменения в Уголовный кодекс, может быть отложено из-за недовольства ФСБ и ФСТЭК. Об этом пишет издание "Ведомости" со ссылкой на источники в компаниях по кибербезопасности и собеседников, знакомых с ходом обсуждения законопроекта.

Минцифры с лета 2022 года пытается ввести в правовое поле понятие bug bounty. По данным одного из собеседников из компании по кибербезопасности, законопроект предполагает внесение изменений в статью 272 Уголовного кодекса о неправомерном доступе к компьютерной информации. Максимальное наказание по этой статье составляет семь лет лишения свободы. Ответственность наступает, если незаконный доступ повлек за собой модификацию и копирование компьютерной информации.

Однако продвижение законопроекта в существующем виде приостановлено из-за позиции ФСБ и ФСТЭК. Согласно источнику из газеты, эти ведомства выступают против либерализации положений Уголовного кодекса и высказывали соответствующую позицию на одном из рабочих совещаниях по законопроекту.

Издание направило запросы в оба ведомства, в Минцифры от комментариев отказались.

Другой источник указывает, что позицию ФСБ и ФСТЭК выражали их сотрудники на рабочих совещаниях по законопроекту в Минцифры. Как утверждает один из собеседников, грань между уголовно наказуемыми действиями и легальными «очень зыбкая», а «менять УК никто не будет».

Издание также сообщает, что сейчас вознаграждения за поиск уязвимостей в информационных системах предлагаются тремя российскими компаниями: Positive Technologies, "Синклит" и BI.ZONE. Представитель Positive Technologies Артем Сычев подчеркнул, что законопроект позволит "активизировать тех исследователей, которые опасаются каких-либо правовых последствий", а компания участвует в его обсуждении.

Технический директор компании "Синклит" Лука Сафонов также выразил мнение, что хотя его компания не участвовала в обсуждении инициативы о "белых хакерах", законопроект, направленный на их регулирование, определенно необходим. Он отметил, что помимо уголовной статьи 272 УК, "белые хакеры" также могут столкнуться с наказанием по статье 273 УК ("Создание, использование и распространение вредоносных компьютерных программ"). Сафонов считает, что инициатива может встретить противодействие силовых ведомств «в части возможной легализации компьютерных преступлений». По его словам, законопроект может не устроить и самих пентестеров — в случае, если потребует от исследователей выйти из тени, к чему многие из них определенно не готовы.

Адвокат Максим Маценко, руководитель уголовной практики Vinder Law Office, считает, что проблем с уязвимостью "белых хакеров" не существует. Он объясняет, что участие хакера в программе по поиску уязвимостей за деньги предполагает, что компании, участвующие в проекте, добровольно предоставляют свои сети для поиска уязвимостей, что полностью исключает уголовную ответственность при условии, что хакер не выходит за пределы своих прав.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!