Легализация деятельности "белых" хакеров: новые инициативы
Совет Федерации обратился к Минцифры с инициативой, направленной на правовое регулирование деятельности специалистов, занимающихся выявлением слабых мест в IT-системах (поиск уязвимостей).
Автором инициативы является сенатор Артём Шейкин.
В рамках предложений озвучивается идея внедрения двух режимов поиска уязвимостей: с ограниченным составом участников и с неограниченным числом исследователей. Отмечается, что такая классификация может быть полезной при взаимодействии с различными типами IT-инфраструктуры.
Считаю, что предложенная модель взаимодействия является интересной и сможет детально урегулировать деятельность по поиску уязвимостей. Однако, для успешной реализации законодательной инициативы стоит учесть, что модель взаимодействия между заказчиком и исполнителем, который осуществляет поиск уязвимостей, не должна быть чрезмерно забюрократизированной.
Это касается прежде всего предложения регистрировать IT-специалистов через ЕСИА. Подобная мера вряд-ли станет популярной, поскольку не даёт фактически никаких гарантий. Также необходимо учитывать специфику работы "белых" хакеров, которые не стремятся к публичности или излищнему контролю со стороны государства, поэтому необходимо соблюсти баланс интересов IT-специалистов и государства.
При ограниченном количестве участников, которые осуществляют поиск уязвимостей, регистрация на платформе или цифровом сервисе заказчика, на мой взгляд, будет являться наиболее удобным форматом взаимодействия. Требование о регистрации на Госуслугах или где-то ещё будет излишним, неизбежно приведёт к снижению количества желающих искать уязвимости.
Неограниченное количество исследователей уязвимостей может быть реализовано путем размещения так сказать "публичной оферты", когда заказчик размещает на каком-либо информационном ресурсе "техническое задание на поиск уязвимостей" и любой IT-специалист сможет легально осуществлять свою деятельность в рамках размещенного ТЗ и публичной оферты, без риска быть привлеченным к уголовной ответственности.
В заключении отмечу, что предложенные Советом Федерации меры правового регулирования безусловно являются нужными, будут способствовать повышению уровня гарантий IT-специплистам от возможного уголовного преследования за их легальную деятельность. Надеюсь, что предложенная инициатива обретет форму законопроекта и будет реализована на практике.