Поделиться
ФСБ будет контролировать работу «белых» хакеров в России
Новая версия закона о легализации «белых» хакеров предлагает полностью лишить их анонимности, а регулирование их деятельности поручить ФСБ.
ИБ-исследования под контролем ФСБ
Разработана новая версия законопроекта о легализации «белых» хакеров, которая предполагает полную передачу регулирования всех мероприятий по поиску уязвимостей силовому блоку, пишет РБК, ссылаясь на информацию своих источников в госорганах и отрасли информационной безопасности.
За регулирование будут отвечать Федеральная служба безопасности (ФСБ), а также Федеральная служба по технического и экспортного контроля (ФСТЭК) и Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Предыдущую версию законопроекта Госдума отклонила, несмотря на то, что он уже был принят в первом чтении почти за год до этого. Против легализации «белых» хакеров с самого начала выступали именно силовые структуры. CNews писал об этом в ноябре 2023 г.
«Белый» хакер, он же пентестер — это специалист по информационной безопасности (ИБ). Он проводит пентесты (от penetration test — тест на проникновение), находит и устраняет уязвимости в ИТ-инфраструктуре компании. В отличие от обычных хакеров, он находит баги по запросу бизнеса и официально получает за это деньги.
Что предлагает новая версия закона
Регуляторов предлагается наделить правом устанавливать обязательные требования по ключевым направлениям поиска уязвимостей вне зависимости от того, коммерческие это программы, для внутреннего пользования или программы, касающиеся критически важного бизнеса либо госструктур.
Будут установлены правила аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей и правила обработки и защиты полученных в результате данных. Передавать данные о найденных по итогу таких мероприятий уязвимостях, нужно будет не только владельцу ПО, но и силовым ведомствам.
Правила передачи данных будут определены в регламенте. «Неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») появится соответствующая поправка.
Понятие «мероприятие по поиску уязвимостей», определяемое новой версией законопроекта, по словам собеседников издания, «может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение».
«Мероприятиями по поиску уязвимостей» будут считаться коммерческие bug bounty (компании по коммерческим договорам платят независимым исследователям); внутренние bug bounty (компания своими силами ищет уязвимости); любые независимые исследования (исследователь без приглашения проверяет ПО на уязвимости); пентесты, которые в данный момент проводятся в рамках правовых договоров с описанием всех необходимых моментов взаимодействия компании-клиента и компании, предоставляющей услуги исследователей.
Больше никакой анонимности
Списки операторов, которые соответствуют установленным требованиям, будут публиковаться на сайтах силовых ведомств. Работа остальных будет запрещена. Сами «белые» хакеры тоже должны будут проходить обязательную идентификацию и верификацию. Обсуждается создание реестра «белых» хакеров, сказал один из источников РБК. О том, что ФСБ и МВД прорабатывают такую идею, CNews писал в августе 2024 г.
А в феврале 2025 г. CNews писал, что зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин предложил Минцифры рассмотреть возможность идентификации «белых хакеров» через портал «Госуслуги».
Обязательная идентификация исследователей создает угрозу для их безопасности и приватности, особенно если произойдет утечка данных из реестра, считает проджект-менеджер MD Audit (входит в ГК Softline) Кирилл Левкин. «Белые» хакеры нередко становятся мишенью со стороны киберпреступников, особенно в случаях, когда они публично раскрывают опасные уязвимости.
Короткая ссылка
