Минцифры собирается ввести в законодательство понятие bug bounty и легализовать работу белых хакеров. Ведомство разрабатывает законопроект, по которому компьютерные эксперты могут получать вознаграждение за обнаруженные уязвимости, а не попадать под штрафы и ограничение свободы по статье 272 УК РФ («неправомерный доступ к компьютерной информации»).
Эксперты отрасли пояснили изданию «Ведомости», что юридическое определение в правовом поле действий пентестов, которые проводят анализ систем на наличие уязвимостей, а также программ выплат вознаграждения хакерам за обнаружение уязвимостей по аналогии с зарубежными bug bounty позволит легализовать действия белых хакеров и даст возможность им использовать и дорабатывать специальные программные инструменты в рамках усиления механизмов кибербезопасности. Представители рынка считают, что сейчас многим компаниям проще обратится в полицию и завести на хакера уголовное дело, а не платить ему за обнаруженные проблемы.
Минцифры теперь предлагает законодательно регулировать вопрос тестирования информационных систем и внести изменения в действующее законодательство, чтобы исключить расхождение по ответственности за взлом. Вероятно, что ведомство также учтёт в законопроекте, что для тестирования государственных ресурсов хакер должен иметь гражданство РФ, быть зарегистрированным в Единой системе идентификации и аутентификации, получить рекомендации от одной из компаний в сфере информационной безопасности.
Ранее Минцифры в рамках оперативного штаба по обеспечению информационной безопасности предложило крупным российским компаниям начать поддержку белых хакеров. «Киберполигон» и Positive Technologies уже запустили свои аналоги платформы HackerOne для выплат вознаграждений этичным хакерам за поиски уязвимостей в ПО и IT-системах российских компаний и сервисов.
В марте 2022 года HackerOne прекратила сотрудничество с российскими специалистами и багхантерами, заморозив их счета, а также отказалась работать со всеми клиентами из РФ и партнерами, включая уборку из своего сервиса всех совместных проектов с «Лабораторией Касперского».
В июне HackerOne раскрыла, что штатный сотрудник нарушил рамки рабочих ограничений и незаконно продавал, практически шантажируя, отчёты белых хакеров об ошибках и уязвимостях «пострадавшим» от багов в своем коде компаниям-разработчикам ПО. После расследования его уволили.
В августе 2021 года ФСБ возбудила уголовное дело о попытке взлома сетевым инженером структуры «Ростеха». Бывший сотрудник техподдержки интернет-провайдера «Макснет Системы» Никита Демидов подозревался спецслужбами во взломе компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Сетевой специалист рассказал, что он не занимался взломом, а наоборот пытался пресечь атаку извне на ресурсы клиентов, проверяя их роутеры на наличие уязвимостей. За то, что он не получил разрешения у клиента провайдера на сканирование его сетевого оборудования, инженеру грозит лишение свободы на срок от двух до пяти лет со штрафом в размере до 1 млн рублей.
