Сертификат на взлом: хакерам предложат выйти из подполья в России

Совет Федерации, ФСБ, МВД и компании, занимающиеся информационной безопасностью (ИБ), обсуждают возможность создания реестра белых хакеров и их сертификацию. Об этом «Ведомостям» рассказали три источника, близких к различным ИБ-компаниям. По их сведениям, вопрос обсуждался на закрытой встрече представителей ведомств в начале августа.

Член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин подтвердил, что данный вопрос прорабатывается в рамках законопроекта о белых хакерах. В сентябре ожидается подписание решения секции совета по развитию цифровой экономики при Совете Федерации по этой теме.

Легализация деятельности белых хакеров, проверяющих надежность ИБ-защиты корпоративных и государственных IT-систем, обсуждается с лета 2022 года. Тогда Минцифры начало прорабатывать возможность введения понятия bug bounty в правовое поле. Предполагалось внести изменения в закон «Об информации, информационных технологиях и о защите информации» и статью 272 УК РФ «Неправомерный доступ к компьютерной информации».

Однако в 2023 году ряд силовых ведомств выступил против легализации белого хакерства. Опасения силовых ведомств вызывало то, что в случае принятия поправок хакеры-злоумышленники начнут предъявлять документы о заключении договора на тестирование информсистемы, чтобы доказать свою невиновность. Наказать же их в этом случае будет сложно.

В декабре 2023 года в Госдуму была внесена версия законопроекта, разработанная группой депутатов. Проект вносил изменения в Гражданский кодекс РФ, вводя понятия «белый хакер» и bug bounty, а также определял сроки уведомления компании в случае обнаружения уязвимости. Однако законопроект пока не дошел даже до первого чтения в Госдуме.

В настоящее время тесты инфраструктуры на уязвимость проводятся по договору с заказчиком или в рамках программы bug bounty, правила которой прописаны в публичной оферте. Такие программы есть у ряда крупных IT- и ИБ-компаний. Например, в 2023 году было проведено тестирование «Госуслуг», в ходе которого обнаружено 34 уязвимости, большинство из которых – со средним и низким уровнем критичности. Максимальная выплата за найденную ошибку составила 350 000 рублей.

Источник «Ведомостей» в одной из крупных ИБ-компаний отмечает, что предложенные меры по созданию реестра и сертификации должны обезопасить работу bug bounty со значимыми объектами, включая критическую информационную инфраструктуру (КИИ). По его мнению, это позволит легализовать многие направления, связанные с наступательной и превентивной безопасностью, а также устранить серые зоны, в которых сейчас находятся белые хакеры.

Однако собеседник указывает на слабые места инициативы. В текущей геополитической ситуации публично доступный реестр белых хакеров может стать важным источником информации для противника. Кроме того, жесткие бюрократические требования к процедуре вступления в ряды белых хакеров для участия в программах bug bounty могут отпугнуть потенциальных участников. Существует опасение, что в таком случае найденные уязвимости хакеры будут продавать не компаниям за вознаграждение, а злоумышленникам.

Эксперты также отмечают, что государство пока не обладает достаточным инструментарием для контроля за соблюдением правил сертификации. По их мнению, здесь вступают в силу инструменты рынка. Специалисты предполагают, что сообщество будет против предлагаемого регулирования, но те, кто захочет работать легально, будут проходить сертификацию. Наличие сертификата может стать основанием для принятия экспертизы таких хакеров компаниями и частными лицам.

Другие эксперты считают идею непродуманной. По их мнению, это приведет к тому, что никто не захочет серьезно заниматься анализом защищенности КИИ и других систем, если для этого потребуется находиться в реестре. Они также выражают обеспокоенность тем, что в России реестры часто становятся объектом утечек, что может представлять серьезную опасность для людей, находящихся в них. Существуют опасения, что против таких специалистов могут быть введены персональные санкции США и других стран, а их жизни могут подвергаться опасности.