"Ведомости" со ссылкой на отраслевые источники сообщили в понедельник о том, что Минцифры РФ задумалось о легализации т.н. "белых хакеров" — специалистов по кибербезопасности, которые тестируют информсистемы на наличие уязвимостей.
Ведомство хочет ввести в правовое поле понятие bug bounty, по которому работают белые хакеры. Это программа, в ходе которой та или иная компания привлекает сторонних специалистов по безопасности для тестирования своего ПО на уязвимости за вознаграждение или иные бенефиты. Однако в настоящее время подобная деятельность грозит уголовными делами за неправомерный доступ к компьютерной информации (ст. 272 УК РФ)
Как объяснил изданию бизнес-консультант Алексей Лукацкий, осуществление деятельности по поиску уязвимостей (bug bounty, red team, пентест и т. п.) — «это всегда деятельность на грани». «С одной стороны, исследователи действуют в рамках договора и злого умысла у них нет, но с другой — договор все не описывает», — подчеркнул Лукацкий. Тем не менее, он считает, что «загнать эту тему в правовое русло можно только приветствовать».
Отметим, что это уже не первая инициатива Минцифры по поддержке "белых хакеров": еще в апреле там обсуждались (https://digital.gov.ru/ru/events/41478/) меры по прямой финансовой помощи этим специалистам. Деньги предполагалось выявить как раз на bug bounty и проведение пентестов (т.е. непосредственного поиска дыр в инфосистемах).
Ситуация, на самом дел, весьма двойственная. С одной стороны, предпринятое с начала весны количество кибератак на российские веб-сайты (прежде всего государства и аффилированных с ним компаний) действительно заставляет в срочном порядке задумываться о принятии превентивных мер по предотвращению таких ударов. Но с другой - возможно, это лишь предлог для того, чтобы, во-первых, взять всех нужных людей на карандаш, а во-вторых, в текущих реалиях сделать им ряд предложений, от которых нельзя отказаться.
Ведомство хочет ввести в правовое поле понятие bug bounty, по которому работают белые хакеры. Это программа, в ходе которой та или иная компания привлекает сторонних специалистов по безопасности для тестирования своего ПО на уязвимости за вознаграждение или иные бенефиты. Однако в настоящее время подобная деятельность грозит уголовными делами за неправомерный доступ к компьютерной информации (ст. 272 УК РФ)
Как объяснил изданию бизнес-консультант Алексей Лукацкий, осуществление деятельности по поиску уязвимостей (bug bounty, red team, пентест и т. п.) — «это всегда деятельность на грани». «С одной стороны, исследователи действуют в рамках договора и злого умысла у них нет, но с другой — договор все не описывает», — подчеркнул Лукацкий. Тем не менее, он считает, что «загнать эту тему в правовое русло можно только приветствовать».
Отметим, что это уже не первая инициатива Минцифры по поддержке "белых хакеров": еще в апреле там обсуждались (https://digital.gov.ru/ru/events/41478/) меры по прямой финансовой помощи этим специалистам. Деньги предполагалось выявить как раз на bug bounty и проведение пентестов (т.е. непосредственного поиска дыр в инфосистемах).
Ситуация, на самом дел, весьма двойственная. С одной стороны, предпринятое с начала весны количество кибератак на российские веб-сайты (прежде всего государства и аффилированных с ним компаний) действительно заставляет в срочном порядке задумываться о принятии превентивных мер по предотвращению таких ударов. Но с другой - возможно, это лишь предлог для того, чтобы, во-первых, взять всех нужных людей на карандаш, а во-вторых, в текущих реалиях сделать им ряд предложений, от которых нельзя отказаться.