Заместитель председателя комитета Совета Федерации по конституционному законодательству и госстроительству Артём Шейкин направил заместителю главы Министерства цифрового развития Ивану Лебедеву предложения по регулированию деятельности «белых хакеров», пишет «Коммерсантъ». В частности, член верхней палаты российского парламента настаивает на создании формы сотрудничества таких специалистов с владельцами IT-систем, чтобы находить уязвимости и предупреждать о них без опасности наступления административной или уголовной ответственности.

По данным «Ъ», в 2024 году в Госдуму внесли проект закона, который должен снять некоторые вопросы к деятельности «белых хакеров». Однако после принятия в первом чтении прошлой осенью документ больше не обсуждали.

Шейкин предлагает ввести закрытую и открытую формы поиска уязвимостей. Первая предусматривает привлечение ограниченного круга исследователей, вторая — неограниченного.

Мера обяжет операторов и владельцев IT-систем публиковать форму для уведомлений об обнаруженных уязвимостях. Также Шейкин добивается рассмотрения вопроса о целесообразности применения ЕСИА («Госуслуг») для идентификации «белых хакеров». Это предложение член Совфеда направил в Минцифры ещё в прошлом месяце.

По словам Шейкина, сегодня проведение программ Bug Bounty необязательно, а работа «белых хакеров» не закреплена законодательно. Он заявил о важности «инициативной деятельности» исследователей по выявлению уязвимостей, информацию о которых следует передавать правообладателям систем и программного обеспечения.

За прошлый год выплаты «белым хакерам» на платформе Bug Bounty от BI.Zone составили 59 млн руб. 

В отсутствии соответствующих правил «белым хакерам» приходится заключать договоры ГПХ или работать в специальных компаниях, которые нанимают по контрактам, сообщили в компании F6. Тем не менее остаётся множество вопросов к ситуациям, которые не регулируются договорами.

В некоторых случаях компании могут добиваться привлечения сообщившего об ошибке «белого хакера» к уголовной ответственности, отмечает эксперт в сфере информационной безопасности Андрей Брызгин.

Летом прошлого года СМИ писали, что в РФ планируют создать реестр «белых хакеров» для легализации их деятельности. Руководитель департамента аудита и консалтинга F6 Евгений Янов считает, что введение реестра снизит привлекательность подобной деятельности для молодых специалистов и обеспечит «избыточную бюрократизацию».

Директор по развитию сервисов кибербезопасности компании «Бастион» Алексей Гришин считает, что реестр поможет оценивать и формировать условия и возможности работы «белых хакеров». Попадание в российский список «белых хакеров» может стать поводом для введения санкций против отдельных специалистов, полагает основатель BugBounty.ru Лука Сафонов.