По информации источников СМИ, профильные надзорные госведомства (включая Минцифры, ФСБ и МВД) планируют создать отдельный реестр для белых хакеров в РФ для легализации их деятельности. В IT-отрасли считают такую инициативу непроработанной, так как список ИБ-специалистов, которые занимаются исследованиями уязвимостей в компонентах критической инфраструктуры IT-систем, будет интересен злоумышленникам и спецслужбам других стран.
Возможность создания реестра белых хакеров и их сертификации прорабатывается в рамках законопроекта о белых хакерах, пояснил СМИ член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин.
По словам источников СМИ в одной из крупных ИБ-компаний, предложенные меры (реестр и сертификация) должны обезопасить работу программ поиска уязвимостей со значимыми объектами, в том числе с критической информационной инфраструктурой (КИИ). По словам эксперта, это позволит легализовать многие направления, связанные с наступательной и превентивной безопасностью и устранением серых зон, в которых находятся сейчас белые хакеры.
Эксперты считают, что у инициативы есть и слабые места, включая появление жёстких бюрократических требований к процедуре вступления в ряды белых хакеров для участия в программах bug bounty, которые отпугнут потенциальных участников такого проекта. В этом случае найденные уязвимости хакерам будет проще продавать злоумышленникам, а не получать за них официальные вознаграждения, которые могут быть намного меньше, чем платят за них на чёрном рынке.
Проблема в том, что государство сейчас ещё не обладает достаточным инструментарием для того, чтобы проконтролировать обязательное соблюдение правил подобной сертификации, и поэтому здесь вступают в силу инструменты рынка, пояснил СМИ руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. «Естественно, сообщество будет против предлагаемого регулирования, но если его участники захотят работать легально, то они будут сертифицироваться. Наличие сертификата может служить основанием для того, чтобы компании и частные лица принимали экспертизу таких хакеров», — пояснил Бедеров.
Идея непродуманная и приведёт только к тому, что никто не захочет всерьёз заниматься анализом защищённости КИИ и любых иных систем, если для этого надо будет находиться в каком-то реестре, считает консультант по безопасности Positive Technologies Алексей Лукацкий. «Более того, учитывая, что в России почти любой реестр рано или поздно утекает, это представляет серьёзную опасность для людей, в нем находящихся, так как против них не только могут быть введены персональные санкции США и других стран, но и их жизни будут подвергаться опасности. США уже демонстрировали свои возможности по экстрадиции российских IT- и ИБ-специалистов и предъявлению им обвинений», — считает Лукацкий.
12 декабря 2023 года в Госдуму был внесён на рассмотрение законопроект № 509708-8 «О внесении изменений в статью 1280 части четвёртой ГК РФ», предполагающий легализацию в РФ деятельности белых хакеров.
Обновлённый законопроект предполагает, что экспертам по ИБ можно будет проводить исследования программ для ЭВМ. При обнаружении уязвимостей в системе безопасности программ для ЭВМ белые хакеры должны будут сообщить об этом правообладателю в течение пяти рабочих дней. Согласно разработанным изменениям, проект предполагает: «проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов».
Ранее директор по продуктовому развитию «Солар секьюрити» Владимир Бенгин рассказал СМИ, что более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Если поправки будут внесены, и "белые" хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.
В конце ноября 2023 года Генпрокуратура, МВД и Следственный комитет (СК) в рамках совещания в Госдуме, которое было посвящено поправкам в Уголовный кодекс (УК), выступили против легализации деятельности «белых» хакеров в РФ. Ведомства обсуждали внесение поправок в УК, которые выводят из-под его действия создание и использование вредоносного софта «белыми» хакерами по заданию заказчика.
Источники СМИ раскрыли текущую версию поправок. Изменения предполагается внести в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. В рамках корректировок законодательства предлагается:
разрешить создание и использование вредоносного софта «белыми» хакерами по заданию заказчика;
позволить «белым» хакерам изучать и тестировать программное обеспечение (ПО) для выявления уязвимостей и их исправления;
обязать «белых» хакеров сообщать о выявленных «дырах» в ПО правообладателю софта;
дать возможность обладателям информации и операторам информационных систем привлекать сторонних специалистов для выявления уязвимостей;
предоставить правительству право установить требования к выявлению уязвимостей, сейчас их определяет заказчик поиска уязвимостей.
В июне 2023 года Минцифры предложило всем желающим записаться на бесплатный учебный онлайн-курс «Профессия — белый хакер». Ведомство пояснило, что белые хакеры — это специалисты по IT-безопасности, которые стоят на защите интересов государства и бизнеса, а также участвуют в пентестах и Bug Bounty и получают за найденные уязвимости денежное вознаграждение на специальных площадках, например BI. ZОNE Bug Bounty и Standoff 365.
В конце марта 2023 года СМИ сообщили, что законопроект Минцифры о легализации работы белых хакеров отложен на неопределённое время из-за позиции ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Ведомства не собираются менять УК, смягчать или отменять наказание для злоумышленников за взлом информационных систем. В июле прошлого года Минцифры сообщило, что ведомство собирается ввести в законодательство понятие bug bounty и легализовать работу белых хакеров. Минцифры разрабатывает законопроект, по которому компьютерные эксперты могут получать вознаграждение за обнаруженные уязвимости, а не попадать под штрафы и ограничение свободы по статье 272 УК РФ («неправомерный доступ к компьютерной информации»).
Эксперты отрасли пояснили СМИ, что юридическое определение в правовом поле действий пентестов, которые проводят анализ систем на наличие уязвимостей, а также программ выплат вознаграждения хакерам за обнаружение уязвимостей по аналогии с зарубежными bug bounty позволит легализовать действия белых хакеров и даст возможность им использовать и дорабатывать специальные программные инструменты в рамках усиления механизмов кибербезопасности. Представители рынка считают, что сейчас многим компаниям проще обратиться в полицию и завести на хакера уголовное дело, а не платить ему за обнаруженные проблемы.
Законопроект от Минцифры не прошёл проверку в ФСБ и ФСТЭК. Ведомства считают, что принятие законопроекта в существующем виде приведёт к либерализации положений УК, что противоречит позиции госструктур по этой ситуации.
«Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая. А менять УК никто не будет», – пояснили СМИ профильные эксперты.
Представители ИБ-отрасли подтвердили, что сейчас действия пентестеров уязвимы с точки зрения уголовной ответственности, так как их могут квалифицировать как неправомерный доступ к информации (до семи лет колонии) или как создание, использование и распространение вредоносных компьютерных программ (также до семи лет тюремного заключения).
По мнению профильных юристов, сейчас в УК РФ есть целый ряд статей, под которые может подпадать деятельность белых хакеров. В их числе «неправомерный доступ к компьютерной информации», «создание, использование и распространение вредоносных компьютерных программ», «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации». По из словам, чтобы легализовать белых хакеров, Минцифры придётся вносить изменения в несколько статей УК и прописывать там, что действия хакеров не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции. "Но формально это всё равно будет преступное деяние, и в случае спорных ситуаций правоохранительные органы будут давать оценку, является конкретное действие социально значимым или нет", - считает вице-президент Гильдии российских адвокатов Евгений Корчаго.
Юристы уточнили СМИ, что законопроект Минцифры может внести дестабилизацию в правоприменительную практику в отношении киберпреступлений. «Преступники начнут оправдывать свои действия предлагаемыми нормами, а общество получит ситуацию неконтролируемого развития несанкционированного доступа к информации и её оборота. А самим белым хакерам придётся работать в условии высочайших рисков привлечения к уголовной ответственности, например в случае получения доступа к информации», – рассказал СМИ профильный юрист.
В конце марта 2022 года Минцифры в рамках оперативного штаба по обеспечению информационной безопасности предложило крупным российским компаниям начать поддержку белых хакеров.
В августе 2021 года ФСБ возбудила уголовное дело о попытке взлома сетевым инженером структуры «Ростеха». Бывший сотрудник техподдержки интернет-провайдера «Макснет Системы» подозревался спецслужбами во взломе компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Сетевой специалист рассказал, что он не занимался взломом, а наоборот пытался пресечь атаку извне на ресурсы клиентов, проверяя их роутеры на наличие уязвимостей. За то, что он не получил разрешения у клиента провайдера на сканирование его сетевого оборудования, инженеру грозит лишение свободы на срок от двух до пяти лет со штрафом в размере до 1 млн рублей.
