Силовики против легализации «белых» хакеров

Генпрокуратура, МВД и Следственный комитет (СК) выступили против законодательных поправок, которые бы легализовали создание и использование вредоносного софта «белыми» хакерами по заказу третьего лица, пишет РБК. Силовики опасаются, что это помешает наказывать реальных преступников, стоящих за кибератаками. 

Речь идет об «этичных» хакерах, которых компании добровольно привлекают к тестированию своих инфосистем на уязвимости. Вопрос легализации их деятельности в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в ПО за вознаграждение. 

В феврале 2023-го глава комитета Госдумы по информполитике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности. Однако проработка соответствующего законопроекта остановилась — причиной тому стало негативное отношение со стороны ФСБ. 

Сам пакет законопроектов до сих пор не внесен в Госдуму. Однако известно, что в нем предлагается. Так, в рамках поправок «белым» хакерам могут дать разрешение на изучение и тестирование ПО для выявления уязвимостей и их исправления с условием, что они сообщат о найденных проблемах правообладателю софта. Также предлагается предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей. Также, в рамках возможных поправок, правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty). 

Противники легализации «белых» хакеров считают, что, если поправки будут приняты, хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование инфорсистемы, чтобы доказать свою невиновность, и доказать обратное будет достаточно сложно. 

В то же время Минцифры, по словам замдиректора департамента обеспечения кибербезопасности этого министерства Айсалу Бадягиной, поддерживает законопроект. 

Самой распространенной угрозой при работе «белых» хакеров является утечка конфиденциальных данных во время исследования на безопасность ИТ-инфраструктуры компании, считает операционный директор компании «Мультифактор» Виктор Чащин. Он добавил, что если такое произойдет, то заказчик вполне может обратиться в полицию с заявлением на киберэксперта. «В настоящее время деятельность подобного рода строится, в первую очередь, на доверии друг к другу», — резюмирует топ-менеджер.