«Ведомости»: Минцифры планирует легализовать «белых хакеров» — в правовое поле хотят ввести понятие «bug bounty»
- Об этих планах Минцифры «Ведомостям» рассказал источник из российской компании, которая специализируется на разработке инструментов кибербезопасности.
- Цель инициативы — легитимизация рынка, так как на данный момент понятие «bug bounty» в российском законодательстве никак не определено. То есть сейчас это могут трактовать как «неправомерный доступ к компьютерной информации», что попадает под действие статьи 272 УК РФ.
- Руководитель проекта The Standoff от Positive Technologies Ярослав Бабин подтверждает, что такого понятия в самом деле пока нет в законах.
- В Positive Technologies используют «положение о конкурсах», в котором описаны условия для проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов.
- Бизнес-консультант по безопасности Алексей Лукацкий считает, что отсутствие понятия «bug bounty» создаёт проблему.
Достаточно вспомнить про историю админа одного из операторов связи в Обнинске, который решил помочь клиентам и просканировал их сеть на уязвимости, за что его прихватили сотрудники ФСБ и сейчас судят по ст. 274.1 за неправомерное воздействие на КИИ РФ.
- Эксперты отмечают, что легитимизация «bug bounty» позволит распространить подобные программы и возможности тестирования для государственных систем. Однако в таком случае «белым хакерам», по всей видимости, придётся взаимодействовать с ФСБ и ФСТЭК.
54 комментария