Власти хотят легализовать «белых» хакеров. Минцифры предлагает ввести в закон понятие Bug Bounty, выяснили «Ведомости». С помощью этой практики специалисты могут получить вознаграждение за поиск уязвимостей в IT-системах. Но сейчас такая работа рискует обернуться уголовным преследованием и тюремным сроком. Легализация «белых» хакеров должна помочь избежать неоднозначных трактовок.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
Но почему они вообще возникают? На этот вопрос “Ъ FM” ответил основатель и директор по развитию компании Qrator Labs Александр Лямин:
«Большинство крупных корпораций такие методы практикует. Однако в работе с государством, чтобы эта инициатива имела успех, необходима предельно ясно, четко, монохромно прописанная правовая база. В противном случае подобного рода истории могут стать весьма и весьма рисковыми. Как это работает в других компаниях? Там есть определенное соглашение, которое принимают обе стороны. Оно регулирует отношения в этом случае.
В работе с государством правовые риски всегда суперактуальны. И если говорить о заключении соглашений с ним, то это не коммерческая компания, гибкости у него гораздо меньше. Возвращаясь к коммерческому сектору, бывали истории, когда участники программы Bug Bounty попадали в компании, с которой они сотрудничали, в суд неожиданно. Причем, на мой взгляд, бывали виноваты в этом как сами компании, так и ее контракторы. С государством ставки для всех участвующих сторон существенно повышаются».
В России программы по поиску уязвимостей есть, например, у VK, «Яндекса» и Ozon. Разработчики могут получить от 100 тыс. до нескольких миллионов рублей. Впрочем, легализация «белых» хакеров вряд ли изменит ставки на рынке, полагает независимый эксперт по кибербезопасности Алексей Лукацкий:
«Легализация подразумевает, что в первую очередь вводится соответствующее понятие в законодательство. И если Минцифры выйдет на изменение Уголовного кодекса, а именно 272-й и, возможно, 274-й статей, тогда это позволит еще и снизить риски привлечения к уголовной ответственности независимых экспертов, специалистов и исследователей, а также тех, кто работает по договору, но случайно задел какую-то критическую инфраструктуру, и это могло повлечь за собой те или иные последствия.
Примеров именно государственных систем, которые бы объявляли Bug Bounty, нет. Есть различные окологосударственные компании, корпорации, которые пользуются этим. Но само государство пока ограничивается только так называемыми тестами на проникновение, когда "белые" хакеры проводят атаки на системы и потом выкатывают отчет, в котором написано, что было найдено и как это можно устранить. Разница в том, что пентесты (анализ на наличие уязвимостей — прим. “Ъ FM”) проводятся на работающей системе, а Bug Bounty, как правило, против системы, которая либо в тестовом окружении, либо отделена от промышленной эксплуатации.
На мой взгляд, легализация никак не повлияет на оплату Bug Bounty. И нельзя сказать, что это прямо массовая услуга сегодня в России.
Рынок цен еще до конца не сформировался. Появление законодательного поля для данной услуги серьезно не повлияет на ценовую политику».
Это не первая инициатива Минцифры, связанная с работой «белых» хакеров. Весной ведомство обсуждало прямую поддержку разработчиков. В министерстве говорили, что готовы софинансировать такие проекты.
Новости в вашем ритме — Telegram-канал "Ъ FM".