По информации СМИ, контроль за работой белых хакеров в РФ предложили передать Федеральной службе безопасности (ФСБ), Федеральной службе по техническому и экспортному контролю (ФСТЭК) и Национальному координационному центру по компьютерным инцидентам (НКЦКИ). Причём ФСБ сможет устанавливать требования для специалистов по ИБ. Тем белым хакерам, кто не будет соответствовать должным параметрам, запретят работать в рамках поиска уязвимостей. Также предполагается, что информацией о найденных уязвимостях в информационной защите компаний белые хакеры должны будут делиться со спецслужбами.
В новой версии законопроекта о легализации белых хакеров вводится понятие «мероприя��ие по поиску уязвимостей». Как пояснили собеседники СМИ, оно «может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение». Согласно проекту, под это определение могут попасть:
коммерческие bug bounty: программы, где компании через специальные площадки платят независимым исследователям за «находки», работая по коммерческим договорам;
внутренние bug bounty (self‑hosted): программы, в которых компания силами собственных сотрудников ищет уязвимости в своей инфраструктуре;
любые независимые исследования: действия одиночных исследователей, которые без приглашения проверяют программное обеспечение на уязвимости;
пентесты (тестирование на проникновение), которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании‑клиента и компании, предоставляющей услуги исследователей.
В рамках регулирования деятельности белых хакеров ФСБ, ФСТЭК и НКЦКИ могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей вне зависимости от того, коммерческие это программы, для внутреннего пользования или программы, касающиеся критически важного бизнеса либо госструктур. Речь идёт об обязательной идентификации и верификации белых хакеров; правилах аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей; правилах, регулирующих обработку и защиту данных о найденных уязвимостях; регламенте, как именно информация об уязвимости должна быт�� передана владельцу ресурса и госорганам.
По информации источников СМИ, списки операторов с программами bug bounty, которые соответствуют требованиям ответственных за ИБ госведомств, будут публиковаться на сайтах силовых ведомств, а работа белых хакеров вне аккредитованных площадок, а также работа не соответствующих правилам компаний будет запрещена. Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление.
Представитель Минцифры сообщил СМИ, что «министерство находится в диалоге с отраслью и коллегами из Госдумы по данному законопроекту», отметив, что к ним не поступало предложений по созданию реестра белых хакеров. «Проектируемые изменения предусматривают „легализацию“ деятельности белых хакеров, что исключает возможные негативные последствия при осуществлении ими своей деятельности. До принятия закона и подписания его президентом документ может меняться с учётом предложений отрасли и заинтересованных ведомств», — добавили в Минцифры.
12 декабря 2023 года в Госдуму РФ был внесён на рассмотрение законопроект № 509708-8 «О внесении изменений в стать�� 1280 части четвёртой ГК РФ», предполагающий легализацию в РФ деятельности белых хакеров.
В августе 2024 года СИТ сообщили, что профильные надзорные госведомства (включая Минцифры, ФСБ и МВД) планируют создать отдельный реестр для белых хакеров в РФ для легализации их деятельности. В IT-отрасли считают такую инициативу непроработанной, так как список ИБ-специалистов, которые занимаются исследованиями уязвимостей в компонентах критической инфраструктуры IT-систем, будет интересен злоумышленникам и спецслужбам других стран.
В июле 2025 года Госдума РФ отклонила законопроект о легализации белых хакеров. Документ не учитывал нормы о гостайне и безопасности критической инфраструктуры. Минцифры готовит новые предложения по требованиям к поиску уязвимостей и ответственности за их нарушение.
«Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая. А менять УК никто не будет», — пояснили СМИ профильные эксперты. Представители ИБ‑отрасли подтвердили, что сейчас действия пентестеров уязвимы с точки зрения уголовной ответственности, так как их могут квалифицировать как неправомерный доступ к информации (до семи лет колонии) или как создание, использование и распространение вредоносных компьютерных программ (также до семи лет тюремного заключения).
В конце ноября 2023 года Генпрокуратура, МВД и Следственный комитет (СК) в рамках совещания в Госдуме, которое было посвящено поправкам в Уголовный кодекс (УК), выступили против легализации деятельности белых хакеров в РФ. Ведомства обсуждали внесение поправок в УК, которые выводят из-под его действия создание и использование вредоносного софта «белыми» хакерами по заданию заказчика.
В июне 2023 года Минцифры предложило всем желающим записаться на бесплатный учебный онлайн-курс «Профессия — белый хакер». Ведомство пояснило, что белые хакеры — это специалисты по IT-безопасности, которые стоят на защите интересов государства и бизнеса, а также участвуют в пентестах и Bug Bounty и получают за найденные уязви��ости денежное вознаграждение на специальных площадках, например BI. ZОNE Bug Bounty и Standoff 365.
