Контроль за работой «белых» хакеров предложили передать ФСБ

ФСБ сможет устанавливать требования для «белых» хакеров: тем, кто им не будет соответствовать, запретят работать. Найденными «пробелами» в инфозащите программисты должны будут делиться и с компанией, и со спецслужбами

Как рассказали РБК два источника в госорганах и отрасли информационной безопасности, разработана новая версия законопроекта о легализации «белых» хакеров. По словам одного из собеседников, сейчас документ готовят для внесения в Госдуму.

Инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей. Речь идет о специалистах, которых компании привлекают к тестированию своих информсистем на уязвимости самостоятельно или через специализированные платформы bug bounty (программа, в рамках которой компании платят людям за обнаружение уязвимостей и багов).

В новой версии законопроекта вводится понятие «мероприятие по поиску уязвимостей». Как пояснили собеседники РБК, оно «может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение». Согласно проекту, под это определение могут попасть:

• коммерческие bug bounty: программы, где компании через специальные площадки платят независимым исследователям за «находки», работая по коммерческим договорам;
• внутренние bug bounty (self-hosted): программы, в которых компания силами собственных сотрудников ищет уязвимости в своей инфраструктуре;
• любые независимые исследования: действия одиночных исследователей, которые без приглашения проверяют программное обеспечение на уязвимости;
• пентесты (тестирование на проникновение), которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании-клиента и компании, предоставляющей услуги исследователей.

Регулирование всех «мероприятий по поиску уязвимостей» планируется полностью передать силовому блоку: Федеральной службе безопасности (ФСБ), Федеральной службе по техническому и экспортному контролю (ФСТЭК) и Национальному координационному центру по компьютерным инцидентам (НКЦКИ), рассказали собеседники РБК. Они могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей вне зависимости от того, коммерческие это программы, для внутреннего пользования или программы, касающиеся критически важного бизнеса либо госструктур. Речь идет об обязательной идентификации и верификации «белых» хакеров; правилах аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей; правилах, регулирующих обработку и защиту данных о найденных уязвимостях; регламенте, как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др.

Списки операторов, которые соответствуют этим требованиям, будут публиковаться на сайтах силовых ведомств, а работа вне аккредитованных площадок, а также работа не соответствующих правилам компаний будет запрещена. Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление.

По словам одного из собеседников, обсуждается также создание реестра «белых» хакеров.

Представитель Минцифры сообщил РБК, что «министерство находится в диалоге с отраслью и коллегами из Госдумы по данному законопроекту», отметив, что к ним не поступало предложений по созданию реестра «белых» хакеров. «Проектируемые изменения предусматривают «легализацию» деятельности «белых» хакеров, что исключает возможные негативные последствия при осуществлении ими своей деятельности. До принятия закона и подписания его президентом документ может меняться с учетом предложений отрасли и заинтересованных ведомств»,— дополнил он.

Как пытаются легализовать «белых» хакеров

Обсуждение легализации «белых» хакеров идет с 2022 года, когда Минцифры начало прорабатывать возможность ввести в правовое поле понятие bug bounty. В феврале 2023-го экс-глава комитета Госдумы по информполитике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности и что такой вопрос планируется проработать. Но в марте «Ведомости» со ссылкой на источник писали, что против инициативы выступили ФСБ и ФСТЭК. В ноябре 2023-го Генпрокуратура, МВД и Следственный комитет также выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта «белыми» хакерами по заданию заказчика. В качестве причины указывалось, что хакеры-злоумышленники начнут предъявлять документы о заключении договора на тестирование софта, чтобы доказать свою невиновность, из-за чего наказать их будет проблематично.

В декабре 2023 года группа депутатов внесла в Госдуму законопроект, который предлагал дать возможность «белым» хакерам бесплатно искать недостатки безопасности в программах и базах данных без разрешения их создателя (для этого правообладатель должен предоставить исследователю копию своей программы). Предлагалось, что «белые» хакеры должны будут сообщать правообладателю о найденных уязвимостях в течение пяти рабочих дней с момента, когда это произошло, за исключением случаев, если установить место нахождения или адрес для переписки не удалось. Передавать эту информацию еще кому-либо предлагалось запретить, за исключением случаев, когда контактные данные правообладателя найти не удалось.

В октябре 2024-го документ приняли в первом чтении, но летом 2025-го Госдума отклонила его с пояснением, что проект не учитывает особенности информационного обеспечения работы госорганов.

Как оценили инициативу

Некоторые из опрошенных РБК участников рынка указали на риски обсуждаемых идей. Наиболее критичной они называют идею реестра «белых» хакеров. По словам проджект-менеджера MD Audit (входит в ГК Softline) Кирилла Левкина, обязательная идентификация исследователей создает угрозу для их безопасности и приватности, особенно если произойдет утечка данных из реестра. «Белые» хакеры нередко становятся мишенью со стороны киберпреступников, особенно в случаях, когда они публично раскрывают опасные уязвимости. Кроме того, деанонимизация может снизить количество участников bug bounty-программ, ведь многие специалисты работают под псевдонимами не из желания скрыться, а для минимизации личных рисков»,— пояснил эксперт. Оптимальным решением, по мнению Левкина, могбы стать механизм частичной анонимности или «закрытого доверенного профиля», где верификация происходит внутри регулирующего органа, но данные не разглашаются.

По словам представителя одной из российских bug bounty-платформ, содержимое реестра может «утечь» в Сеть, так как на госресурсах есть много уязвимостей. Деанонимизация «белых» хакеров приведет к тому, что они уйдут в серую зону, так как потеря анонимности может повлечь личные последствия: невозможность въехать во многие страны, преследования, вербовку иностранными спецслужбами, рассекречивание специального почерка исследователя и др., рассуждает этот собеседник. По его словам, также важно разграничить виды bug bounty. «Коммерческое bug bounty должно развиваться по рыночным механизмам. Bug bounty для госресурсов и критической инфраструктуры должно регулироваться по всем правилам, так как есть критические риски госуровня»,— отметил он.

По словам директора Центра исследования киберугроз Angara Security Сергея Гилева, текущая версия документа «достаточно жесткая». Деанонимизация «белых» хакеров, по его мнению, приведет к риску их задержания в поездках за рубеж (например, в отпуске или при посещении профильных мероприятий), введению ограничений для посещения определенных стран или при получении виз. В целом, по его мнению, документ «еще не готов к предметному рассмотрению и принятию как закон». Он пояснил, что под регулирование подпадает не только работа на площадках bug bounty, но и любые другие виды поиска уязвимостей, включая услуги компаний в сфере информационной безопасности и работу служб безопасности в крупных компаниях. «Например, если какая-либо организация захочет провести мероприятия по поиску уязвимостей в своей инфраструктуре, то, во-первых, их должны будут проводить только аккредитованные организации, во-вторых, информацию о любых выявленных уязвимостях должны будут передать силовым структурам. Не каждая организация будет готова передавать такую информацию, и, вероятнее всего, компании и исследователи будут искать варианты проведения таких мероприятий втайне»,— считает он.

Представитель центра развития кибербезопасности «Кибердом», который собирает позиции рынка по отраслевой регуляторике, сказал, что они смогут обозначить свою позицию только после официального выхода законопроекта. Аналогично поступили в компаниях «Солар» (входит в «Ростелеком»), F6, Positive Technologies и «Лаборатории Касперского».

Читайте РБК в Telegram.

Источник