Министерство цифрового развития, связи и массовых коммуникаций думает над тем, чтобы ввести понятие bug bounty в правовое поле для легализации выплат «белым хакерам», которые тестирует информационные системы на наличие уязвимостей. Об этом пишут «Ведомости» со ссылкой на источник в одной из российских компаний — разработчиков инструментов кибербезопасности и собеседника в международной компании на рынке информзащиты.
Белыми хакерами называют специалистов по кибербезопасности, которые тестируют информсистемы на наличие уязвимостей. Цель их работы — помощь разработчикам в обеспечении защищенности программных решений. Белые хакеры работают по программе Bug Bounty и получают вознаграждение за нахождение ошибок.
Однако их действия могут толковать и как неправомерный доступ к компьютерной информации, то есть состав преступления, предусмотренный статьей 272 Уголовного кодекса, рассказал один из собеседников газеты. Технический директор АО «Синклит» Лука Сафонов отметил, чт легализация bug bounty позволит распространить программы выплат белым хакерам и на тестирование государственных систем.
Историю, иллюстрирующую отсутствие понятие bug bounty на законодательном уровне, рассказал бизнес-консультант по безопасности Алексей Лукацкий:
«Достаточно вспомнить про историю админа одного из операторов связи в Обнинске, который решил помочь клиентам и просканировал их сеть на уязвимости, за что его прихватили сотрудники ФСБ и сейчас судят по ст. 274.1 за неправомерное воздействие на КИИ РФ.
[Осуществление деятельности по поиску уязвимостей] — это всегда деятельность на грани. [...] С одной стороны, исследователи действуют в рамках договора и злого умысла у них нет, но с другой – договор всё не описывает и своими действиями они могут причинить ущерб, что может повлечь последствия. Поэтому попытку загнать эту тему в правовое русло можно только приветствовать».
Российское правительство предлагает различные меры поддержки для IT-сообщества с конца февраля 2022 года — на фоне оттока специалистов после начала «специальной военной операции» армии России на территории Украины. Среди прочего, в марте Минцифры анонсировало финансовую поддержку белых хакеров.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.