ГигаЧат кратко объясняет суть статьи
Проект закона о регулировании деятельности «белых» хакеров предлагает передать контроль над поиском уязвимостей ФСБ, ФСТЭК и Национальному координационному центру по компьютерным инцидентам. Планируется установить единые правила для всех исследований, включая коммерческие программы bug bounty, внутренние проверки и пентесты. Силовые ведомства смогут контролировать идентификацию и аккредитацию специалистов, обработку данных об уязвимостях и формировать реестр «белых» хакеров. Обязательной станет передача информации о найденных уязвимостях не только владельцам ПО, но и государственным органам. Нарушение правил грозит уголовной ответственностью. Эксперты критикуют предложение, указывая на риски снижения числа участников программ из-за угрозы деанонимизации и возможных негативных последствий для самих исследователей.
Разработана новая версия законопроекта о легализации «белых» хакеров, которая предполагает передачу контроля за их деятельностью силовому блоку. Об этом сообщает РБК.
Согласно проекту, регулирование всех «мероприятий по поиску уязвимостей» планируется передать ФСБ, ФСТЭК и Национальному координационному центру по компьютерным инцидентам. Силовики получат право устанавливать обязательные требования для всех видов исследовательской работы по поиску уязвимостей.
Инициатива вводит единое понятие «мероприятие по поиску уязвимостей», под которое попадают коммерческие bug bounty-программы, внутренние корпоративные исследования, независимые проверки и пентесты. Это «стирает существующее в отрасли разделение», отмечают собеседники издания.
Ведомства смогут устанавливать правила идентификации и верификации «белых» хакеров, аккредитации организаций и обработки данных об уязвимостях. Списки соответствующих требованиям операторов будут публиковаться на сайтах силовых структур. Работа вне аккредитованных площадок и деятельность несоответствующих правилам компаний будут запрещены.
Все, кто обнаружил уязвимость, обязаны будут сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. За «неправомерную передачу уязвимостей» предлагается ввести уголовную ответственность по статье 274 УК РФ.
Обсуждается также создание реестра «белых» хакеров. Представитель Минцифры заявил, что ведомство «находится в диалоге с отраслью» по данному законопроекту, но предложений по созданию реестра к ним не поступало.
Эксперты критически оценили инициативу, особенно идею реестра. Проджект-менеджер MD Audit Кирилл Левкин считает, что обязательная идентификация создаёт угрозу для безопасности исследователей. «Деанонимизация может снизить количество участников bug bounty-программ», — предупредил он.
Представитель российской bug bounty-платформы отметил риск утечки данных из реестра. По его мнению, деанонимизация приведёт к уходу хакеров в серую зону из-за возможных последствий: невозможности въезда в страны, преследований и вербовки иностранными спецслужбами.
Директор Центра исследования киберугроз Angara Security Сергей Гилев назвал текущую версию документа «достаточно жёсткой». Он предупредил о рисках задержания «белых» хакеров за рубежом и введении ограничений на поездки.
Попытки легализации «белых» хакеров ведутся с 2022 года. В декабре 2023 года группа депутатов внесла в Госдуму соответствующий законопроект, который приняли в первом чтении, но летом 2025 года отклонили. Причиной стало то, что проект не учитывал особенности информационного обеспечения работы госорганов.
Читать первым в Telegram-канале «Код Дурова»
