Речь идет о специалистах, которых компании привлекают для поиска уязвимых мест в своих системах. Возможность легализации деятельности обсуждается в стране, начиная с 2022 года. Тогда Минцифры начало работу по введению понятия «bug bounty» как системы финансовых вознаграждений за обнаруженные уязвимости.
В Комитете по государственному строительству и законодательству сообщили, проект не принимает во внимание специфику работы с информацией в госорганах. Подобные процессы попадают под законы о гостайне. Эксперты обратили внимание на то, что проект не сопровождался изменениями в других нормативных актах. Подчеркивается, чтобы признать «белых» хакеров, необходимо обновить действующее законодательство, включая УК РФ. Важно, чтобы были четкие правила по регулированию порядка обнаружения уязвимостей, это позволит минимизировать риски. Так как к настоящему времени соответствующих правок нет, законопроект отклонили.
Источник изображения: Rbc
Напомним, что авторы инициативы предлагали разрешить передачу информации об уязвимостях производителям ПО. Однако, как заметили эксперты, в случае если производители зарегистрированы в недружественных странах, это может представлять угрозу для национальной безопасности.
Минцифры поддерживает идею комплексной легализации пентестеров. Специалисты министерства при поддержке ведомств работают над определением требований и правил к процессу поиска уязвимостей, санкций за их нарушение.