На ИТ-форуме «Цифровые решения» премьер-министр РФ Михаил Мишустин предложил представителям ИБ-отрасли отказаться от термина «белый хакер». Он призвал заменить словосочетание на более точное, связанное с анализом уязвимостей критически важных систем, например «аналитик по уязвимости критических систем жизнеобеспечения».
Термин «белый хакер» появился 15–20 лет назад и изначально имел романтизированный оттенок. Тогда специалисты по ИБ будто стояли перед выбором: использовать знания во вред или на благо, рассказал коммерческий директор компании‑разработчика программных и аппаратных средств защиты информации «Код Безопасности» Фёдор Дбар. В настоящее время это уже полноценная профессия, а не выбор мировоззрения. Причём такая специализация требует широких знаний и специфического склада ума.
Каким термином предлагают в отрасли заменить словосочетание «белый хакер»:
сооснователь фонда «Сайберус» Юрий Максимов поддержал идею и предложил формулировку «хакер-исследователь», так как важно сохранить исходную суть слова «хакер» — человек, владеющий глубокими знаниями программирования и использующий их для поиска уязвимостей;
в мировой практике, добавил Максимов, применяются термины ethical hacker (этичный хакер), специалист по тестированию на проникновение, либо «багхантер» — специалист, участвующий в публичной программе по поиску уязвимостей в рамках багбаунти-платформ (инициативах компаний по поиску уязвимостей за вознаграждение);
CEO компании по защите от киберугроз «Кибериспытание» Наталья Воеводина предложила использовать термин «кибериспытатель». По её мнению, такая формулировка точнее отражает деятельность специалистов и понятна широкой аудитории. Воеводина подчеркнула, что за пределами профессионального сообщества само слово «хакер» воспринимается скорее негативно.
Ранее СМИ сообщили, что контроль за работой белых хакеров в РФ предложили передать Федеральной службе безопасности (ФСБ), Федеральной службе по техническому и экспортному контролю (ФСТЭК) и Национальному координационному центру по компьютерным инцидентам (НКЦКИ). Причём ФСБ сможет устанавливать требования для специалистов по ИБ. Тем белым хакерам, кто не будет соответствовать должным параметрам, запретят работать в рамках поиска уязвимостей. Также предполагается, что информацией о найденных уязвимостях в информационной защите компаний белые хакеры должны будут делиться со спе��службами.
В новой версии законопроекта о легализации белых хакеров вводится понятие «мероприятие по поиску уязвимостей». Как пояснили собеседники СМИ, оно «может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение». Согласно проекту, под это определение могут попасть:
коммерческие bug bounty: программы, где компании через специальные площадки платят независимым исследователям за «находки», работая по коммерческим договорам;
внутренние bug bounty (self‑hosted): программы, в которых компания силами собственных сотрудников ищет уязвимости в своей инфраструктуре;
любые независимые исследования: действия одиночных исследователей, которые без приглашения проверяют программное обеспечение на уязвимости;
пентесты (тестирование на проникновение), которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании‑клиента и компании, предоставляющей услуги исследователей.
В рамках регулирования деятельности белых хакеров ФСБ, ФСТЭК и НКЦКИ могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей вне зависимости от того, коммерческие это программы, для внутреннего пользования или программы, касающиеся критически важного бизнеса либо госструктур. Речь идёт об обязательной идентификации и верификации белых хакеров; правилах аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей; правилах, регулирующих обработку и защиту данных о найденных уязвимостях; регламенте, как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам.
По информации источников СМИ, списки операторов с программами bug bounty, которые соответствуют требованиям ответственных за ИБ госведомств, будут публиковаться на сайтах силовых ведомств, а работа белых хакеров вне аккредитованных площадок, а также работа не соответствующих правилам компаний будет запрещена. Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление.
