СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
10 июня
#ИБ

Для белых хакеров в России готовят новые правила игры и хотят окончательно отделить их от киберпреступников

Для белых хакеров в России готовят новые правила игры и хотят окончательно отделить их от киберпреступников

изображение: recraft

Российские власти приблизились к закреплению правового статуса белых хакеров. Доработанный пакет документов уже находится в правительстве и должен определить понятные механизмы взаимодействия специалистов по поиску уязвимостей с бизнесом и государственными структурами. Подробности раскрыл член комитета Госдумы по информационной политике и федеральный координатор проекта «Цифровая Россия» партии «Единая Россия» Антон Немкин.

Документ прошёл серьёзную переработку с учётом замечаний отраслевых игроков и экспертного сообщества, рассказал Антон Немкин. Власти рассчитывают выйти на такую модель регулирования, которая поддержит развитие направления и одновременно снизит риски злоупотреблений со стороны отдельных участников рынка.

Тема обсуждается далеко не первый год. Услуги пентестеров востребованы во всём мире, но их работа до сих пор остаётся одной из самых запутанных с точки зрения закона. Причина простая — методы работы специалистов по поиску уязвимостей внешне почти не отличаются от инструментов настоящих злоумышленников.

Чем занимаются белые хакеры на практике:

  • проверяют защищённость корпоративных и государственных информационных систем;
  • анализируют сетевую инфраструктуру и настройки серверов;
  • тестируют веб-приложения и мобильные сервисы на устойчивость к атакам;
  • моделируют поведение реальных злоумышленников в контролируемых условиях;
  • готовят отчёты с описанием найденных проблем и рекомендациями по устранению.

Стоит обратить внимание на то, что подобные проверки превращаются для владельцев инфраструктуры в полноценный стресс-тест цифровой защиты, и далеко не каждая внутренняя команда способна заменить независимый аудит со стороны.

Внешний аудитор зачастую видит то, что годами ускользает от внимания внутренних специалистов, отметил Антон Немкин. Даже сильные команды информационной защиты привыкают к собственной инфраструктуре и перестают замечать слабые места, которые становятся очевидны при свежем взгляде извне.

Цифры подтверждают практическую пользу подобной работы. За 2025 год специалисты по поиску уязвимостей нашли почти 14 тыс. различных проблем в информационных системах российских компаний и организаций, рассказал депутат. Для отрасли цифра действительно крупная, ведь многие из обнаруженных дыр могли бы стать входными точками для хакерских группировок.

Отсутствие нормальной правовой базы остаётся главным тормозом для рынка. Неопределённость бьёт и по самим исследователям, и по заказчикам, которым хочется понимать, где проходит граница между легальным аудитом и нарушением закона. Бизнес готов платить за проверки, но опасается юридических последствий.

Главная головная боль для авторов законопроекта — провести чёткую линию между белыми хакерами и киберпреступниками. С технической стороны разница порой минимальна, обе категории используют одинаковый инструментарий:

  • сканеры портов и сетевых сервисов;
  • анализаторы сетевого трафика;
  • утилиты для проверки защищённости приложений;
  • средства автоматизированного поиска уязвимостей;
  • инструменты для эксплуатации найденных слабых мест.

Принципиальная разница появляется на финальной стадии работы, пояснил Антон Немкин. Белый хакер передаёт информацию о проблеме владельцу системы и помогает её закрыть. Злоумышленник пользуется уязвимостью ради кражи данных, вымогательства или нарушения работы сервисов.

Интересно, что часть специалистов по защите информации начинала карьеру с изучения хакерских техник, а многие инструменты легальных проверок исторически пришли из исследовательской среды атакующих, что вызывает понятную осторожность у правоохранительных органов.

Поэтому работа над законопроектом продвигается медленно. Авторам нужно сформулировать критерии, которые позволят однозначно отличать исследовательскую активность от противоправных действий. Перегиб в любую сторону опасен — либо появятся лазейки для преступников, либо легальные специалисты окажутся под постоянным риском уголовного преследования.

Польза работы пентестеров для государства тоже признаётся. Для объектов критической информационной инфраструктуры последствия успешной атаки могут оказаться куда серьёзнее, чем в обычной корпоративной среде, и здесь внешний аудит становится почти обязательным элементом защиты.

Что должна дать отрасли будущая модель регулирования:

  • понятный правовой статус для исследователей безопасности;
  • прозрачные процедуры взаимодействия с владельцами инфраструктуры;
  • защиту специалистов от необоснованного преследования;
  • возможность безопасно проводить публичные программы bug bounty;
  • условия для развития российского рынка независимого аудита.

Принятие документа в текущей редакции даст рынку понятные правила взаимодействия между исследователями, бизнесом и государственными структурами. Для отрасли это окажется одним из самых заметных событий последних лет, ведь вопрос правового статуса белых хакеров поднимается фактически с момента появления первых отечественных программ bug bounty.

Ранее сообщалось, что Минцифры расширяет программу проверки безопасности искусственного интеллекта в государственных информационных системах с привлечением исследователей и специалистов по поиску уязвимостей. С 1 июня 2026 года в сферу испытаний вошли не только сами ИИ-модели, но и обучающие наборы данных, а также интерфейсы взаимодействия с ними. Одновременно вступил в силу приказ ФСТЭК №117, который впервые установил государственные требования к обеспечению безопасности систем искусственного интеллекта.

Эксперты редакции CISOCLUB убеждены, что принятие закона о белых хакерах станет переломным моментом для всей российской отрасли информационной защиты. Без чёткого правового поля рынок пентестов так и останется в полутени, а компании продолжат отказываться от внешних аудитов из-за юридических рисков.

Легализация деятельности исследователей позволит привлечь в профессию больше талантливых людей, которые сегодня предпочитают работать на зарубежные платформы bug bounty. Государство получит дополнительный ресурс для защиты критической инфраструктуры, а бизнес — понятный инструмент проверки своих систем. Главное, чтобы финальная редакция документа не превратилась в формальность и реально работала на практике.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: