изображение: recraft
Совет Федерации обратился к Минцифры с инициативой, направленной на правовое оформление деятельности специалистов, занимающихся выявлением слабых мест в IT-системах. В частности, рассматривается идея узаконить так называемое «инициативное взаимодействие» между такими специалистами и владельцами цифровых ресурсов.
Эта модель предполагает, что исследователи смогут добровольно находить уязвимости и передавать информацию об этом, не опасаясь правовых последствий.
По данным издания «Коммерсантъ», речь идёт о предложениях, направленных первому заместителю министра цифрового развития Ивану Лебедеву. Автором инициатив выступил первый зампред комитета Совета Федерации по конституционному законодательству и государственному строительству Артём Шейкин.
Документ датирован 25 марта и, среди прочего, касается деятельности специалистов, работающих с платформами по типу Bug Bounty, где находка уязвимости вознаграждается.
В рамках предложений озвучена идея внедрения двух режимов поиска уязвимостей: с ограниченным составом участников и с неограниченным числом исследователей. Артём Шейкин отмечает, что такая классификация может быть полезной при взаимодействии с различными типами IT-инфраструктуры.
Кроме того, по его мнению, следует обязать операторов и владельцев цифровых платформ, в том числе тех, которые относятся к критически важным, размещать на своих ресурсах удобные формы для сообщений о найденных проблемах. Также предлагается вернуться к рассмотрению варианта с идентификацией специалистов через систему ЕСИА.
Артём Шейкин уточняет, что сейчас участие в программах Bug Bounty остаётся добровольным, а сама деятельность исследователей не прописана в законе. Он подчёркивает, что сегодня существуют две формы сотрудничества: прямая — между специалистом и владельцем системы, и трёхсторонняя — с участием платформы-посредника, которая привлекает независимых экспертов. При этом, по мнению сенатора, важно предусмотреть и третий формат — самостоятельные действия исследователей, которые фиксируют проблемы и сообщают о них без предварительного запроса со стороны владельца.
В Госдуме уже рассматривается законопроект, цель которого — устранить правовую неопределённость вокруг работы «белых хакеров». Он был одобрен в первом чтении осенью прошлого года, но с тех пор не продвигался по процедуре рассмотрения.
Максим Каширин, Руководитель отдела анализа защищенности Angara Security, заявил CISOCLUB: «Как руководитель отдела, отвечающего за тестирование на проникновение и анализ защищённости, я вижу в инициативе Совета Федерации важный шаг к легализации и упрощению работы исследователей уязвимостей, в том числе в нашей сфере. Законопроект не касается нашей коммерческой деятельности, так как мы имеем юридические договоренности с нашими клиентами.
При этом наши специалисты принимают участие в различных Bug Bounty-программах вне коммерческих контрактов, что является для нас серой зоной. Поэтому нам критически важно, чтобы наши специалисты не рисковали обвинениями, сообщая об уязвимостях в рамках таких программ.
И в этом новый законопроект может упростить взаимодействие с владельцами цифровых ресурсов. Также мы обращаем внимание на вопрос идентификации через ЕСИА. Это может оттолкнуть часть исследователей, которые не хотят сталкиваться с излишней бюрократией. В целом, развитие Bug Bounty-программ — позитивный шаг, но для критически важных объектов нужны чёткие рамки и ограничение рисков. Мы поддерживаем изменения, если они обеспечивают баланс между защитой бизнеса и свободой действий экспертов, работающих на его безопасность».
Алексей Гришин, директор по развитию сервисов кибербезопасности компании «Бастион»: «Признание деятельности «белых хакеров» требует не только регламентации их работы, но и разработки единого реестра специалистов. На этапе формирования законодательной инициативы важно привлекать экспертов-практиков, чтобы создать необходимые условия для формирования полноценной и эффективной рабочей среды. Нужно создать условия, в рамках которых у исследователей будет мотивация становиться сертифицированными специалистами, например, подтверждать квалификацию сертификацией, иметь четко закрепленные условия труда и преимущества в карьерном росте.
Реестр должен быть не в публичном доступе, так как есть риски. Например, в случае его компрометации может осложниться работа на всех уровнях. Законопроект важно вводить поэтапно совместно с поддержкой лояльных лидеров мнений».
Александр Зубриков, CEO ITGLOBAL.COM Security: «В целом позитивная инициатива, призванная упорядочить работу исследователей ИБ и повысить зрелость заказчиков услуг ИБ, защищенности чувствительных информационных систем.
Вместе с этим, наряду с безусловно положительными возможностями, есть ряд спорных моментов, которые требуют отдельной проработки. Например, неясно, как бизнесу действовать в ситуации, когда он по каким-либо причинам не готов сотрудничать с исследователем, который уже обнаружил уязвимость. Или как действовать в ситуации, когда ранее обнаруженная уязвимость не была вознаграждена, а соответственно, устранена, а потом стала причиной успешной кибератаки. Кроме того, неясно, как регулировать стоимость вознаграждения при отсутствии у компании программы вознаграждений. В таком случае договариваться придется напрямую, неизбежен риск банально не сойтись в оценке.
На мой взгляд, любые попытки систематизировать такую работу, будут сводиться к формату, уже используемому Bug Bounty-платформами, т.е. не будут иметь смысла. Либо под угрозой неизбежно будут интересы одной из сторон: бизнеса или исследователя. Наконец, по моему мнению, требует проработки вопрос регистрации в системе – доступ с авторизацией только по ЕАИС оттолкнет часть желающих, при этом отсутствие регистрации позволит злоумышленникам маскироваться под легитимных исследователей, в случае раскрытия операции. И все еще, со стороны исполнителя не будет принципиальной разницы, регистрироваться ли в ЕАИС, или на платформе Bug Bounty».
Оригинал публикации на сайте CISOCLUB: "Минцифры РФ предложили рассмотреть инициативу по признанию деятельности исследователей уязвимостей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.