Отбеленные хакеры

В Совете федерации предлагают Минцифры ряд мер для легализации работы «белых хакеров» — специалистов по поиску уязвимостей в IT-системах за вознаграждение. Например, там видят целесообразным ввести в регулирование «инициативную» форму их сотрудничества с владельцами IT-систем, которая позволит исследователям находить уязвимости и уведомлять о них без юридических рисков. В Госдуму с прошлого года уже внесен законопроект, который должен снять ряд спорных вопросов к деятельности «белых хакеров», но после прохождения проекта в первом чтении прошлой осенью документ не обсуждался.

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” ознакомился с письмом первого зампреда комитета Совфеда по конституционному законодательству и госстроительству Артема Шейкина замглавы Минцифры Ивану Лебедеву о регулировании деятельности «белых хакеров» и их работе, в том числе в рамках платформы Bug Bounty (для поиска уязвимостей в IT-системах за вознаграждение). Документ был направлен 25 марта.

Так, Артем Шейкин предлагает ввести две формы поиска уязвимостей: закрытую (с привлечением ограниченного круга исследователей) и открытую (с привлечением неограниченного числа исследователей), следует из письма.

Обязать операторов и владельцев информсистем, в том числе относящихся к критической инфраструктуре, публиковать форму для сообщений о найденных в их системах уязвимостях, а также рассмотреть вопрос о целесообразности использования ЕСИА («Госуслуг») в качестве идентификации «белых хакеров», что предлагалось ранее.

Проведение программ Bug Bounty не носит обязательный характер, а деятельность «белых хакеров» законодательно не закреплена, объясняет “Ъ” Артем Шейкин. Также, по его словам, наряду с договорными двусторонними отношениями специалистов и заказчиков и трехсторонними (когда заказчик обращается к платформе Bug Bounty, а та, в свою очередь, привлекает независимых исследователей) важно предусмотреть возможность «инициативной деятельности» исследователей по выявлению уязвимостей, сведения о которых необходимо передавать правообладателям систем и софта.

Сейчас в Госдуме на рассмотрении уже есть законопроект, который направлен на наделение правами на работу «белых хакеров». Он был принят в первом чтении в октябре прошлого года, но более не обсуждался.

В Минцифры “Ъ” сообщили, что предложения прорабатываются вместе с заинтересованными ведомствами и отраслями. В министерстве считают целесообразным урегулировать статус «белого хакера», а также предусмотреть на законодательном уровне ответственность в случае нарушения условий деятельности. Это позволит обеспечить возможность привлечь «белых хакеров» для оценки защищенности и исключить риски для владельцев информсистем, добавили в Минцифры.

Пока соответствующей юридической рамки нет, «белым хакерам» приходилось заключать договоры ГПХ или работать в специальных компаниях, которые нанимают по договорам, рассказали в компании F6 (ранее Group-IB). Однако остается много вопросов к ситуациям, не регулируемым договорами.

«Информация об ошибке есть, договора нет: нужно сообщить об угрозе, но реакция получателя информации может быть самой разной, вплоть до привлечения к уголовной ответственности исследователя»,— приводит пример независимый эксперт по кибербезопасности Андрей Брызгин.

Введение же реестра для «белых хакеров» на базе «Госуслуг» при этом в отрасли оценивают неоднозначно. Руководитель департамента аудита и консалтинга F6 Евгений Янов видит в этом повышение порога вхождения в профессию, что, в свою очередь, снижает привлекательность ее для молодых специалистов, и риск «избыточной бюрократизации».

С другой стороны, введение реестра поможет оценивать и корректно формировать условия и возможности работы «белых хакеров», говорит директор по развитию сервисов кибербезопасности компании «Бастион» Алексей Гришин. На текущий момент большинство компаний в индустрии обращают внимание на квалификацию исследователей на основании зарубежных сертификаций, например OSCP и CEH. «Формально люди, работающие в этой области и имеющие соответствующую сертификацию, уже занесены в международные списки "белых хакеров", которые недоступны в России»,— объясняет он. Однако российский список «белых хакеров» может, напротив, стать поводом для внесения специалистов в санкционые списки, предупреждает основатель BugBounty.ru Лука Сафонов.

Филипп Крупанин