Адвокат Игорь Баранов: закон о белых хакерах устранит опасную правовую неопределённость в России
изображение: grok
Игорь Баранов, адвокат, управляющий партнёр московской коллегии адвокатов «Bravis», прокомментировал для CISOCLUB подготовку законопроекта о закреплении правового статуса белых хакеров. По мнению эксперта, появление такого регулирования является давно назревшей мерой для российского рынка информационной безопасности.
Он отметил, что вопрос правового положения специалистов по поиску уязвимостей давно требует законодательного урегулирования. Существующая неопределённость создаёт риски как для самих исследователей безопасности, так и для организаций, заинтересованных в проверке защищённости своих систем.
«Инициатива по законодательному закреплению правового статуса так называемых «белых хакеров» является абсолютно правильной и давно назревшей мерой. Более того, я неоднократно публично обращал внимание на необходимость урегулирования данного вопроса, поскольку существующая правовая неопределённость создает риски как для специалистов по информационной безопасности, так и для бизнеса», — заявил Игорь Баранов.
По словам эксперта, сегодня возникает парадоксальная ситуация, когда специалисты по кибербезопасности и злоумышленники могут использовать схожие технические инструменты. Это приводит к размытию границы между легальным аудитом безопасности и потенциальным нарушением закона.
«Сегодня складывается парадоксальная ситуация: специалисты, которые помогают выявлять уязвимости и предотвращать кибератаки, зачастую используют те же технические инструменты, что и злоумышленники. В результате грань между легальным аудитом безопасности и потенциальным нарушением закона оказывается крайне размытой», — отметил он.
Игорь Баранов подчеркнул, что даже исследователь, действующий добросовестно и в интересах владельца системы, в отдельных случаях может столкнуться с вопросами со стороны правоохранительных органов.
«Даже добросовестный исследователь, действующий в интересах владельца системы, формально может столкнуться с претензиями со стороны правоохранительных органов», — рассказал эксперт.
По его мнению, вклад белых хакеров в обеспечение кибербезопасности трудно переоценить. Именно они помогают обнаруживать тысячи уязвимостей до того, как ими воспользуются преступники, что особенно важно для критической информационной инфраструктуры, государственных систем и финансового сектора.
«Между тем роль белых хакеров в обеспечении кибербезопасности сложно переоценить. Именно они выявляют тысячи уязвимостей до того, как ими воспользуются преступники. Особенно важно это для объектов критической информационной инфраструктуры, государственных информационных систем, банковского сектора и крупных цифровых платформ», — подчеркнул Игорь Баранов.
Эксперт считает, что государству давно следовало сформировать понятные правила взаимодействия исследователей безопасности с владельцами информационных систем и определить критерии, позволяющие однозначно отличать легальную деятельность от противоправной.
«Поэтому государству давно необходимо было создать понятные правила игры: определить правовой статус исследователей безопасности, порядок их взаимодействия с владельцами информационных систем, условия проведения bug bounty-программ и критерии, позволяющие четко отличить деятельность специалиста по безопасности от противоправных действий киберпреступника», — заявил он.
По словам Игоря Баранова, принятие такого закона принесёт пользу всем участникам рынка, поскольку бизнес получит дополнительные возможности для проверки защищённости своих систем, а специалисты смогут работать без риска необоснованного преследования.
«Принятие такого закона будет выгодно всем участникам процесса. Бизнес получит возможность легально привлекать независимых экспертов для проверки защищенности своих систем, специалисты будут защищены от необоснованного преследования, а государство получит дополнительный инструмент повышения уровня национальной кибербезопасности», — отметил эксперт.
При этом он подчеркнул, что ключевое значение будет иметь содержание итоговой версии документа и наличие в нём реально работающих механизмов правовой защиты.
«Самое главное, чтобы итоговая редакция закона не носила декларативный характер, а содержала чёткие правовые механизмы, которые позволят белым хакерам работать открыто, законно и без риска быть привлеченными к ответственности за деятельность, направленную на защиту информационных систем», — заключил Игорь Баранов.
