Минцифры хочет легализовать хакеров, которые ищут уязвимости в программном обеспечении — «Ведомости»

Минцифры собирается легализовать выплаты «белым хакерам», которые занимаются поиском уязвимостей в информационных системах. Об этом пишут «Ведомости» со ссылкой на источники.

Для этого министерство собирается ввести понятие bug bounty (означает систему, в рамках которой люди специально за вознаграждение находят ошибки в программном обеспечении). Сейчас понятия bug boynty в российском правовом поле не существует и поиск уязвимостей рискует быть трактован как «неправомерный доступ к компьютерной информации» (ст. 272 УК РФ), отметил источник «Ведомостей».

Впрочем, несмотря на то, на то, что bug bounty пока что не существует в российском законодательстве, частные компании, такие как, например, «СКБ Контур», Bi.Zone и The Standoff от Positive Technologies, запускают свои программы поиска уязвимостей и делают выплаты исследователям.

Легализация bug bounty приведёт к тому, что программы тестирования будут распространяться и на тестирование государственных систем, подчёркивает технический директор АО «Синклит» Лука Сафонов. Однако, по словам Сафронова, многие «белые хакеры» бояться работать с государством, так как им, вероятно, придётся взаимодействовать с ФСБ.

Бизнес-консультант по безопасности Алексей Лукацкий отметил, что отсутствие понятия bug bounty создаёт много юридических проблем для тех, кто изучает программные уязвимости.

«Достаточно вспомнить про историю админа одного из операторов связи в Обнинске, который решил помочь клиентам и просканировал их сеть на уязвимости, за что его прихватили сотрудники ФСБ и сейчас судят по ст. 274.1 за неправомерное воздействие на КИИ РФ [безопасность критической инфраструктуры страны]», — пояснил Лукацкий.