Думский комитет по информационной политике и IT завершает подготовку ещё одного проекта закона, направленного на легализацию деятельности белых хакеров в России. В рамках этого документа предполагается стандартизировать тестирование информационных систем в государственном секторе и на предприятиях критической информационной инфраструктуры, сообщает издание «Коммерсант».
Согласно представленному документу, правительство вместе с ФСБ России будут иметь возможность самостоятельно определить порядок и время проведения проверки информационных систем.
Как рассказали журналисты издания «Коммерсант», новый документ является дополнением к законопроекту, который был уже внесён в Госдуму в конце 2023 года. Если в первой версии законопроекта говорилось о праве компаний привлекать белых хакеров, то в обновлённом документе предлагается внесение изменений ст. 16 149-ФЗ «Об информации», а также уточнено, на каких основаниях организации, в том числе и те, которые имеют статус «критической информационной инфраструктуры», а также государственные органы будут располагать правом привлечения «белых хакеров» и использования платформ bug bounty.
Согласно новой версии законопроекта, организация подобной проверки для компаний КИИ и госорганов будет возможна за счёт прямого заключения соглашения с лицами, которые привлекаются для тестирования, то есть с белыми хакерами, а также за счёт размещения договора публичной оферты для привлечения соответствующих экспертов.
Кроме того, в соответствии с законопроектом, правительство будет иметь полномочия «установления требований к порядку и условиям» выполнения тестирования белыми хакерами. Эти условия будут распространяться на государственные структуры, в том числе и расположенные в субъектах Российской Федерации, на органы местного самоуправления и предприятия критической информационной инфраструктуры. Также все подобные мероприятия должны будут согласованы с «федеральным органом власти в сфере безопасности». По словам журналистов, скорее всего, здесь подразумевается ФСБ России.
По этому поводу высказался Игорь Баранов, преподаватель АИС, адвокат, ведущий эксперт по проверкам правоохранительными органами субъектов предпринимательской деятельности: “В условиях тотальной цифровизации общественных отношений, поиск уязвимостей является действенным механизм выявления уязвимостей информационных систем, и такая деятельность нужна как государству, так и бизнесу. Подтверждением этому является факт привлечения “белых” хакеров к поиску уязвимостей на портале “Госуслуги” и в других частных системах, принадлежащих крупному бизнесу.
При таких обстоятельствах, когда деятельность белых хакеров ведётся и является действительно полезной, отсутствие ее правого регулирования, а по факту – наличие уголовной ответственности за такую деятельность, во многом тормозит развитие отрасли и представляет угрозу IT специалистам. В условиях “объективного вменения” правоохранительных органов при расследовании случаев взлома и поиска уязвимостей, белые хакеры имеют все шансы быть привлеченными к уголовной ответственности, что и подтверждали ранее в СК России.
Более широкое применение возможностей «этичных хакеров» госструктурами может в свою очередь простимулировать скорейшее законодательное регулирование их правового положения, так как в настоящее время нормы уголовного закона, касающиеся преступлений в сфере компьютерной информации, устарели и не отвечают сложившимся общественным и деловым отношениям”.
Генеральный директор облачного провайдера «НУБЕС» (Nubes) Василий Степаненко: «Инициатива безусловно хорошая, нужная и своевременная. Однако при практической реализации следует учитывать ряд аспектов. Белых хакеров, если таковые будут привлекаться для проверки устойчивости объектов КИИ, ни в коем случае нельзя пускать на действующую инфраструктуру, на «боевые» системы. Это чревато серьезными негативными последствиями: от ситуации, при которой хакеры слишком «качественно» справятся с поставленной задачей, до того, что под видом белого хакера может скрываться агент из спецслужб недружественных стран.
Так что «ломать КИИ» нужно исключительно на тестовой инфраструктуре максимально похожей на «боевую». А это значит, что владелец КИИ должен будет создать такую инфраструктуру и поддерживать ее в рабочем состоянии, в том числе делая все обновления, которые реализуются на реальном объекте КИИ. Тот же подход необходим и при реализации проектов bugbounty.
Еще один момент – награда за найденные уязвимости должна быть адекватной. Никто из серьезных специалистов не возьмется искать критическую уязвимость в какой-нибудь системе за 5 тысяч рублей.
Таким образом, для владельца объекта КИИ реализация работы с белыми хакерами и организация bugbounty – это расходы: времени на создание тестовой инфраструктуры, человеческого ресурса на ее поддержание и прямые финансовые затраты на награду в рамках bugbounty. В целом, многое в вопросе эффективности этого законопроекта будет зависеть от подзаконных нормативно-правовых-актов, которые, смеем надеяться, дадут ответы на практические вопросы по рассматриваемой тематике».
Анатолий Иващук, Директор по информационной безопасности DDoS-Guard: “Привлечение «белых хакеров» – тема, которая требует четкого правового регулирования: для багхантера есть разница в степени риска между проверкой по системе багбаунти коммерческого ресурса и государственной информационной системы критической инфраструктуры. Второе – куда более рискованно для исполнителя.
При внедрении платформы багбаунти необходимо, чтобы владелец объектов КИИ четко описал правила игры для приглашенных «белых хакеров»: границы проверяемых ресурсов, инструментарий, критерии оценки и оплаты и т.д. Поскольку сканирование и методы поиска уязвимостей в целом фактически выглядят как атака, очень важно соблюдать оговеренные правила, чтобы не оказаться субъектом атаки на объект КИИ в глазах регуляторов – ГосСОПКА и НКЦКИ”.
Оригинал публикации на сайте CISOCLUB: "КИИ и госструктуры смогут привлекать «белых хакеров» и использовать платформы багбаунти".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.