Изображение: recraft
Российские власти рассматривают вариант пересмотра модели взаимодействия с сообществом белых хакеров. Как сообщают СМИ, в новой редакции законопроекта о легализации поиска уязвимостей предложено установить жёсткий контроль за деятельностью этичных исследователей, работающих в области кибербезопасности. Централизация надзора может перейти в руки Федеральной службы безопасности, ФСТЭК и Национального координационного центра по компьютерным инцидентам.
Если изменения вступят в силу, именно ФСБ получит право разрабатывать требования к специалистам, участвующим в тестировании систем на проникновение и обнаружении уязвимостей. Те, кто не соответствует утверждённым критериям, не смогут продолжать работу в рамках выявления уязвимостей, даже на добровольной или исследовательской основе.
Документ вводит юридически оформленное понятие «мероприятие по поиску уязвимостей». Как отмечают источники, эта формулировка охватывает весь спектр деятельности, начиная с независимых инициатив одиночных специалистов, заканчивая крупными коммерческими программами bug bounty. При этом стираются границы между внутренними и внешними форматами исследования.
Согласно проекту, под регулирование подпадут следующие направления работы:
- коммерческие программы вознаграждений (bug bounty), когда компании взаимодействуют с внешними исследователями через специализированные платформы;
- внутренние инициативы по проверке собственной цифровой инфраструктуры;
- самостоятельные исследования, осуществляемые без запроса со стороны владельца программного обеспечения;
- пентесты, организуемые по официальным договорам с чёткими условиями и зонами ответственности.
Контроль со стороны ФСБ, ФСТЭК и НКЦКИ будет охватывать сразу несколько направлений. В частности, планируется ввести обязательные правила идентификации и верификации исследователей, единые критерии аккредитации для компаний и специалистов, занимающихся поиском уязвимостей, а также требования к защите и передаче найденной информации. Чётко будет регламентирован порядок уведомления о брешь в системах владельцев ресурсов и представителей государства.
Как сообщает издание со ссылкой на источники, в будущем работа с уязвимостями будет разрешена только на одобренных и зарегистрированных платформах. Компании, не попавшие в список утверждённых операторов bug bounty, не смогут продолжать подобную деятельность. Белым хакерам, действующим вне этих рамок, фактически запретят заниматься даже независимыми исследованиями.
Также рассматривается механизм обязательной передачи информации об уязвимости не только разработчику или владельцу ресурса, но и представителям спецслужб. Такая инициатива подразумевает двойную ответственность за несанкционированное распространение данных. Предлагаемые поправки в статью 274 Уголовного кодекса расширяют понятие «неправомерная передача уязвимостей» и устанавливают за неё уголовную ответственность.
Оригинал публикации на сайте CISOCLUB: "Контроль над белыми хакерами хотят передать ФСБ и другим силовым структурам с ужесточением правил раскрытия уязвимостей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.