Минцифры прорабатывает инициативу по легализации белых хакеров. В правовое поле для этого хотят ввести понятие bug bounty. Из-за его отсутствия исследователей уязвимостей могут привлекать к ответственности по ст. 272 УК РФ.
Минцифры работает над введением в правовое поле понятия bug bounty, сообщают «Ведомости» со ссылкой на нескольких источников. Это позволит легализовать работу так называемых белых хакеров, которые тестируют информационные системы на уязвимости. В ведомстве отказались от комментариев.
Отсутствие понятия bug bounty, по мнению бизнес-консультанта по безопасности Алексея Лукацкого, создает «деятельность на грани», поскольку исследователя могут привлечь к ответственности по ст. 272 УК РФ за «неправомерный доступ к компьютерной информации».
Руководитель проекта The Standoff от Positive Technologies Ярослав Бабин объясняет, что платформа работает как агрегатор исследователей для бизнеса. Компания прописывает «положение о конкурсах», в которых уточняются условия «проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов».
На платформе доступны две программы от «Азбуки вкуса» и Positive Technologies, а зарегистрировано более 800 исследователей, из которых 37 отправили минимум один отчет об уязвимости. По словам Бабина, по трем уже назначено вознаграждение. До конца года компания планирует подключить к системе до 20 партнеров.
У «СКБ Контур» тоже есть программа поиска уязвимостей. На сайте компании отмечается, что исследователи могут получить денежное вознаграждение (за критическую уязвимость — до 105 тыс. руб.) и фирменные подарки.
Технический директор АО «Синклит» Лука Сафонов считает, что изменение законодательства позволит использовать подобные программы для тестирования государственных систем. Однако эксперт отмечает, что исследователи не любят работать с правительством, поскольку приходится взаимодействовать с ФСБ и Федеральной службой по техническому и экспортному контролю.