Госдума отклонила законопроект о легализации «белых» хакеров

Госдума отклонила проект о легализации «белых» хакеров: он не учитывает нормы о гостайне и безопасности критических систем. Минцифры уже готовит новые предложения — требования к поиску уязвимостей и ответственность за их нарушение

На заседании во вторник, 8 июля, Госдума отклонила законопроект, который должен был легализовать в России деятельность «белых» хакеров. Решение было принято после соответствующей рекомендации профильного комитета Госдумы по государственному строительству и законодательству.

Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации их деятельности в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty— поиск уязвимостей в софте за вознаграждение.

Комитет посчитал, что законопроект, внесенный группой депутатов в 2023 году, не учитывает особенности информационного обеспечения работы госорганов. Эта работа регулируется законодательством о гостайне, об информации, а также о безопасности критической информационной инфраструктуры (к ней относятся сети связи и информационные системы госорганов, транспортных, энергетических, финансовых и ряда др. компаний).

Еще одной причиной отказа стало отсутствие необходимых изменений в других законах. Как указало в своем отзыве на проект правительство, для легализации «белых» хакеров нужно комплексно менять законодательство, в том числе уголовное право. Эти изменения должны определить правила поиска уязвимостей и снизить связанные с этим риски, но такие поправки до сих пор не внесены, указано в отзыве комитета Госдумы по госстроительству. Законопроект также подразумевал, что о найденных уязвимостях можно будет сообщать разработчикам программ— правообладателям. Согласно отзыву, если такой правообладатель находится в недружественной юрисдикции, передача информации об уязвимостях может угрожать нацбезопасности России.

Минцифры считает целесообразным вносить комплексные изменения по легализации «белых» хакеров, сказал РБК представитель министерства. По его словам, сейчас они вместе с заинтересованными госорганами обсуждают инициативы по определению требований и правил при проведении мероприятий по поиску уязвимостей, а также законодательную ответственность в случае их нарушения.

Один из авторов отклоненного проекта, член IT-комитета Госдумы Антон Немкин сказал РБК, что они планируют повторно внести инициативу в составе пакета законопроектов, касающихся правового статуса и правил деятельности пентестеров (специалист по информационной безопасности, который проводит тестирование на проникновение— pentest— в системы, сети и приложения с целью выявления уязвимостей).

Законопроект о легализации «белых»хакеровбыл принят в первом чтении в октябре 2024 года. Он содержит поправки в ст. 1280 ч. 4 Гражданского кодекса. Документ разрешает «белым» хакерам бесплатно искать недостатки безопасности в программах и базах данных без разрешения их создателя (для этого правообладатель должен предоставить исследователю копию своей программы). При этом «белые» хакеры должны сообщать правообладателю о найденных уязвимостях в течение пяти рабочих дней с момента, когда это произошло, за исключением случаев, если установить место нахождения или адрес для переписки не удалось. Передавать эту информацию кому-либо еще запрещено, исключение— если контактные данные правообладателя найти не удалось.

Как пояснял ранее Антон Немкин, для проведения тестирования защищенности систем «белым» хакерам требуется получить большое количество разрешений от правообладателя каждой программы. Выполнение тестирования без таких разрешений может привести к нарушению авторских прав, а «белых» хакеров могут обязать выплатить компенсацию.

В марте 2025-го сенатор Артем Шейкин предложил для легализации работы «белых» хакеров ввести две формы поиска уязвимостей: закрытую (с привлечением ограниченного круга исследователей) и открытую (неограниченное число исследователей). Также он предлагал обязать операторов и владельцев информсистем, в том числе относящихся к критической инфраструктуре, публиковать форму для сообщений о найденных в их системах уязвимостяхи рассмотреть вопрос о целесообразности использования ЕСИА («Госуслуг») в качестве идентификации «белых» хакеров.

Какие риски видит рынок

Законопроект о легализации «белых» хакеров с самого начала вызвал множество вопросов в профессиональном сообществе, напоминает директор сервисного блока компании F6 Александр Соколов. Он пояснил, что на проработку таких инициатив требуются время и взаимодействие с профильным сообществом. Ранее F6 отмечала риски неконтролируемой активности со стороны легализованных «белых» хакеров, напомнил Соколов. По его словам, результатом такой активности могут стать отказ в обслуживании систем, передача полученной информации об уязвимостях третьим лицам и другие нежелательные последствия. Сейчас, когда заказчик инициирует проведения работ с использованием соглашения о неразглашении и работает с известной компанией, имеющей лицензию ФСТЭК, риски сводятся к минимуму, отметил эксперт. Отклонение законопроекта, по его словам, говорит о том, что вопросы профессионального сообщества к инициативе были учтены.

Законно продолжать поиск уязвимостей после того, как законопроект отклонили, возможно, но с большими оговорками, считает эксперт группы практического анализа защищенности «Инфосистемы Джет» Дмитрий Курамин. По его мнению, преимущество здесь на стороне компаний, которые профессионально занимаются информационной безопасностью, так как у них есть и опытные исследователи, и юристы, способные корректно трактовать лицензионные соглашения исследуемого софта. Курамин подчеркнул, что каждое исследование— это потенциальный риск, и без четкого правового регулирования сложно гарантировать безопасность и легитимность.

Эксперт напомнил, что с 2022 года многие российские компании пересмотрели подход к регистрации уязвимостей и взаимодействуют по этому вопросу исключительно с ФСТЭК, в первую очередь по поводу российского софта. Что касается иностранных производителей, компании оповещают их только после того, как ФСТЭК разместит информацию об уязвимости в Банке данных угроз безопасности информации, рассказал Курамин. По его мнению, необходимы более четкие механизмы взаимодействия с иностранными производителями, возможно, с привлечением госорганов, чтобы обеспечить эффективное раскрытие уязвимостей, не подвергая риску нацбезопасность. Эксперт считает, что для такого софта потребуются особые правила, напримеробязательная сертификация и контроль раскрытия уязвимостей.

Важно формализовать процессы: начиная от допуска к объектам критической инфраструктуры и правилам отчетности, заканчивая ответственностью сторон, считает менеджер по продуктам MD Audit (входит в ГК Softline) Кирилл Лёвкин. Он отметил, что работа «белых» хакеров уже доказала свою эффективность: многие крупные компании регулярно получают отчеты об уязвимостях в продуктах и инфраструктуре, которые были найдены вне формальных проверок, что помогает предотвратить реальные атаки. В тоже время сегодня «белые» хакеры фактически работают в правовом вакууме, подчеркнул Лёвкин. По его словам, чтобы сделать их труд безопасным и полезным для всех сторон, нужно создать механизм признания добросовестного поиска уязвимостей, защиту от необоснованного преследования и систему легальных каналов передачи информации, в том числе при работе с зарубежными вендорами.

Читайте РБК в Telegram.

Источник