Bug Bounty протестируют на устойчивость

В Совете федерации работают над новым законопроектом, направленным на регулирование деятельности «белых хакеров» Bug Bounty, программ по поиску уязвимостей в IT-системах за вознаграждение. Авторы предлагают обязать все компании, относящиеся к критической информационной инфраструктуре (КИИ), проводить тестирование, а также установить финансовые требования к операторам платформ Bug Bounty. Компании КИИ приветствуют инициативу, но напоминают, что и так достаточно зарегулированы в части безопасности, а тестирования должны быть добровольными.

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” ознакомился с проектом федерального закона, который направлен на масштабирование проведения Bug Bounty в России. Законопроект «О деятельности по поиску уязвимостей…» разработан в Совете по развитию цифровой экономики при Совете федерации совместно с участниками рынка кибербезопасности и предполагает изменения в три ФЗ — «О безопасности критической информационной инфраструктуры», «О лицензировании отдельных видов деятельности» и «Об информации, информтехнологиях и о защите информации».

Один из авторов инициативы, сенатор Артем Шейкин, сообщил “Ъ”, что законопроект будет внесен после получения отзыва правительства, куда он будет направлен по результатам доработки и обсуждения с ведомствами и отраслью. Предлагается обязать компании, относящиеся к КИИ (банки, промышленность, телеком и т. д.), проводить Bug Bounty. Кроме того, они закрепляют ответственность участников тестирований — операторов платформ, владельцев информсистем,— которые будут выходить на Bug Bounty, и самих тестировщиков. Также устанавливаются требования к платформам и критерии для отбора операторов. Размер их уставного капитала должен составлять не менее 100 тыс. руб., а сам оператор должен иметь «гарантийный фонд» в размере не менее 5% от уставного капитала.

В проекте говорится, что владельцы IT-инфраструктуры (ПО, ПАК, телекоммуникационная сеть) обязаны гарантировать, что обладают исключительными правами на нее и «не будут нарушены права третьих лиц». Если по результатам будет найдена уязвимость, владелец инфраструктуры передаст в течение пяти дней данные во ФСТЭК. Контроль за Bug Bounty также передается службе.

В Минцифры считают целесообразным рассматривать новый документ с учетом принятого в первом чтении законопроекта о «белых хакерах» и отзыва правительства. Артем Шейкин добавляет, что первая инициатива не устраняет законодательные пробелы и дополнения «логично поместить в отдельный ФЗ».

Основатель платформы Bug Bounty bugbounty.ru Лука Сафонов отмечает, что приведенное значение размера уставного капитала операторов не должно влиять на принятие уязвимостей. «Фонд тоже под вопросом: сейчас это 5%, завтра может быть выше, это ограничит рынок одним-двумя игроками». В операторах платформ BI.ZONE и Positive Technologies инициативу не прокомментировали.

В «Вымпелкоме» и МТС говорят, что регулярно проводят тестирования как самостоятельно, так и с помощью сторонних специалистов. В «МегаФоне» — что соответствуют стандартам в области безопасности, а также требованиям к КИИ: «Стандарты и требования налагают обязательства по регулярным оценкам защищенности внутреннего и внешнего периметров компании». В t2 (ранее Tele2) сообщили, что «склоняются к необязательным программам Bug Bounty». Глава комитета по информбезопасности Ассоциации российских банков (входят Абсолют-банк, Росбанк и др.) Андрей Федорец предполагает, что все участники финансового рынка будут заинтересованы в Bug Bounty и «может потребоваться ежегодное тестирование».

При этом операторы связи, как и все субъекты КИИ, очень сильно зарегулированы, что накладывает уже достаточные ограничения на бизнес, говорит собеседник “Ъ” в одном из крупных операторов. Собеседник в другой крупной компании добавляет, что рекомендаций, которые сейчас выдает Национальный координационный центр по компьютерным инцидентам ФСБ, достаточно для обеспечения уровня безопасности их IT-систем.

Татьяна Исакова, Алексей Жабин, Алексей Старостин