Найти тему
Парламентская газета

Белые хакеры

В современном мире, когда цифровые технологии проникают во все сферы жизни, кибербезопасность становится неотъемлемой частью национальной безопасности. Российская Федерация, как и другие государства, сталкивается с растущим количеством киберугроз, которые могут нанести серьезный ущерб экономике, политической системе и общественной безопасности.

Так, в I квартале 2024 года наблюдался рост количества киберугроз на 7%, и в первом полугодии этого же года число критических угроз информационной безопасности выросло на 39% по сравнению с аналогичным периодом 2023 года. Крупные утечки персональных данных пользователей, массовые атаки группировок через эксплуатацию уязвимостей для доставки вредоносного программного обеспечения (далее — ПО), удаленное управление и социальная инженерия — лишь часть из них. Преступники активно используют легитимные сервисы совместной разработки ИТ-проектов и открытые репозитории для доставки вредоносного ПО на устройства жертв. При этом наибольшее количество критических киберугроз в первом полугодии 2024 года затронуло организации в сферах телекоммуникаций, строительства и ИТ.

Что в текущем законодательстве

В феврале 2023 года Министерством цифрового развития была запущена программа Bug Bounty с целью поиска уязвимостей в «Госуслугах» и других ресурсах электронного правительства. С ноября 2023 года начался второй этап данной программы, направленный на нахождение «узких» мест в государственных информационных системах (ГИС). Программа Bug Bounty — важный шаг в направлении повышения уровня кибербезопасности государственных информационных систем и обеспечения их надежной защиты от киберугроз. Организатор привлекает независимых исследователей к поиску уязвимостей объектов информационной инфраструктуры на имеющейся у него специализированной платформе на определенных условиях. В случае выявления исследователем серьезной уязвимости он получает вознаграждение. Поиск уязвимостей может проводиться открыто или закрыто, например, в отношении объектов критической информационной инфраструктуры.

В настоящее время функционируют две платформы, каждая из которых обслуживает около 30 клиентов, и третья находится в стадии становления. Стоимость годовой поддержки одной платформы составляет не менее 70 млн рублей. Одним из заказчиков таких программ выступает Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации России, которое с 2023 года проводит поиск уязвимостей в государственных информационных системах.

Говоря о регулировании вышеуказанной деятельности, на данный момент уже существует законопроект «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации», подготовленный в качестве законодательной инициативы депутатами Государственной Думы. Его целью является исключение нарушения авторских прав на программы для ЭВМ при осуществлении тестирования защищенности информационных систем. Однако, несмотря на значимость данной инициативы, все еще существует ряд законодательных пробелов в данной сфере. В частности, вышеуказанный законопроект в первую очередь направлен на решение одного узкоспециального вопроса и не позволяет урегулировать комплекс нормативных неоднозначностей, связанных с деятельностью по поиску уязвимостей и оценке защищенности информационных ресурсов, а также не устанавливает понятие «тестирование защищенности» и требования к тестированию в отношении объектов критической информационной инфраструктуры, включая регламентирующую роль ФСТЭК России в этом процессе.

Что будет в новом законопроекте

На сегодняшний день в Совете Федерации разработан законопроект «О деятельности по поиску уязвимостей и оценке уровня защищенности объектов информационной инфраструктуры Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации», который призван урегулировать отношения в сфере деятельности по поиску уязвимостей и оценке уровня защищенности объектов информационной инфраструктуры Российской Федерации, устанавливает права и обязанности участников этих отношений и определяет основы государственного регулирования указанной деятельности. Такая деятельность будет лицензироваться ФСТЭК России.

Законопроектом предлагается:

ввести понятийный аппарат (определить такие понятия, как «информационная инфраструктура», «уязвимость», «поиск уязвимости», «оценка защищенности», «платформа по поиску уязвимостей»); определить состав участников деятельности (заказчик, организатор, исследователь, исполнитель); определить виды деятельности, а также ввести две формы проведения поиска уязвимостей — закрытую (с привлечением ограниченного круга исследователей) и открытую (с привлечением неограниченного количества исследователей); определить уполномоченные федеральные органы исполнительной власти по допуску к такой деятельности и контролю ее осуществления (ввести новый вид лицензии на осуществление деятельности по поиску уязвимостей объектов информационной инфраструктуры).

Законопроект также устанавливает ответственность участников при осуществлении деятельности по поиску уязвимостей и оценке уровня защищенности.

Итоги обсуждения законопроекта в Совете Федерации

Проблема увеличения числа инцидентов в сфере информационной безопасности РФ и усложнения их технической структуры также неоднократно обсуждалась на площадке Совета Федерации. В рамках обсуждения законопроекта по данной проблематике в Совете Федерации проходило заседание секции «Обеспечение технологического суверенитета и информационной безопасности Российской Федерации», на которой было решено принять следующие меры:

утвердить технические требования к платформам по поиску уязвимостей. Ввести понятийный аппарат для ключевых понятий, таких как «информационная инфраструктура», «уязвимость», «поиск уязвимости», «оценка защищенности», «платформа по поиску уязвимостей» и др., определить субъектный состав участников деятельности, полномочия государственных органов по допуску к такой деятельности и контролю ее осуществления. Ввести обязательность проведения программ по поиску уязвимостей в отношении объектов КИИ, внеся изменения в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». Ввести административную ответственность за нарушение порядка устранения выявленных уязвимостей на объектах КИИ. Установить виды деятельности по поиску уязвимостей и определить две формы их проведения: закрытую (с ограниченным кругом исследователей) и открытую (с неограниченным количеством исследователей).

Законопроект направлен в целях получения предложений в Минцифры РФ, Минюст РФ, Генпрокуратуру РФ, СК РФ, МВД РФ, ФСТЭК РФ и ФСБ РФ.

Подводя итог, важно отметить, что в реалиях цифровой эпохи государственный суверенитет напрямую зависит от информационной безопасности, поэтому устранение правовой неопределенности с помощью создания механизмов для легализации «белых хакеров» будет способствовать повышению эффективности обеспечения безопасности Российской Федерации. Считаю, что данный законопроект позволит системно регулировать деятельность специалистов в области кибербезопасности и обеспечить их юридическую защиту при выполнении задач по поиску уязвимостей и укреплению технологической защиты государства. Это, в свою очередь, усилит защиту важных объектов критической информационной инфраструктуры от киберугроз и будет способствовать росту спроса и квалификации специалистов в данной области, что является важнейшим фактором сохранения государственного суверенитета в цифровую эпоху.