Эксперт Чащин: легализация белых хакеров в России поможет вывести отрасль из серой зоны
изображение: grok
Виктор Чащин, директор по стратегическому развитию МУЛЬТИФАКТОР, прокомментировал для CISOCLUB подготовленный правительством пакет документов о регулировании деятельности белых хакеров. По мнению эксперта, главная цель инициативы заключается в юридическом разграничении специалистов по безопасности и злоумышленников, однако полностью снять все вопросы новый механизм не сможет.
Он отметил, что необходимость подобных изменений назрела давно, поскольку сегодня даже легальная работа исследователей безопасности может создавать для них правовые риски.
«С одной стороны, разграничение давно назрело: сегодня даже работа строго по договору и с согласия владельца может формально подпадать под статьи, где ответственность наступает уже за само использование хакерского инструментария», — заявил Виктор Чащин.
По его словам, предлагаемые изменения должны вывести легитимный пентест из этой неопределённости за счёт формализации процедур и требований к участникам рынка.
«Поправки выводят легитимный пентест из-под этого риска, проводя границу по формальной процедуре — договор, аккредитация, авторизованные платформы, регламент передачи данных», — отметил эксперт.
При этом Виктор Чащин подчеркнул, что инструменты и методы работы специалистов по безопасности и злоумышленников зачастую практически идентичны, поэтому сама по себе регистрация в системе не гарантирует добросовестности.
«С другой стороны, у этого подхода есть заведомое ограничение: инструменты и действия пентестера и злоумышленника почти не отличаются, разница возникает лишь на финальном этапе. Реестр и аккредитация фиксируют не намерение, а формальную принадлежность к системе, и сама по себе она добросовестности не гарантирует», — рассказал он.
Эксперт считает, что использование белых хакеров для проверки защищённости информационных систем является полностью оправданной практикой. В качестве примера он привёл сравнение деятельности исследователей безопасности с работой независимых аудиторов.
«В целом, здесь та же логика, что и в финансовом аудите, когда компания сама зовет внешнего проверяющего. Можно провести очень хорошую параллель, сравнив хакеров и пентестеров с вооружённым бандитом и хирургом. И у преступника, и у хирурга есть нож, но не возникает сомнений, кому из этих двоих можно доверить «взлом» человека», — заявил Виктор Чащин.
По его словам, этичность такой работы обеспечивается несколькими обязательными условиями, без которых тестирование фактически превращается в атаку.
«Белый хакер моделирует поведение реального атакующего, но в заранее очерченных рамках и с обязательным отчётом. Вся этика держится на трёх составляющих — согласие владельца, оговоренный объём работ и ответственное раскрытие, когда выявленные данные передаются «хозяину системы», а не на чёрный рынок», — отметил эксперт.
Он также обратил внимание на то, что регулирование накладывает обязанности не только на исследователей безопасности, но и на государство. В частности, речь идёт о защите данных специалистов, которые будут включены в официальные реестры.
«Если от белого хакера требуют раскрыть себя и встать на учёт в реестр, то взамен он вправе рассчитывать на надёжную защиту своих персональных данных, а при утечке такой базы специалист рискует столкнуться с вполне конкретными проблемами», — подчеркнул Виктор Чащин.
Говоря о последствиях реформы, эксперт отметил, что легализация деятельности белых хакеров способна повысить уровень защищённости российских организаций и стимулировать развитие программ поиска уязвимостей.
«Только за 2025 год белые хакеры выявили почти 14 тысяч уязвимостей в системах российских компаний и госструктур, вдвое больше, чем годом ранее. Каждая закрытая дыра — это, возможно, несостоявшийся взлом, а легализация выводит на свет специалистов, которые сегодня боятся работать открыто», — рассказал он.
При этом Виктор Чащин предупредил о риске чрезмерного регулирования, которое может привести к обратному эффекту.
«С другой стороны, есть риск перерегулирования, если передать всё под госконтроль, обвязать жёсткой аккредитацией и добавить штрафы до миллиона или реальные сроки за процедурные нарушения — так можно отпугнуть именно добросовестных хакеров. Им проще будет промолчать или уйти на международные площадки», — заявил эксперт.
Отдельно он прокомментировал роль искусственного интеллекта в поиске уязвимостей. По мнению Виктора Чащина, ИИ уже способен эффективно выполнять значительную часть рутинной работы, однако полностью заменить специалистов не сможет.
«Частично может. ИИ уже хорошо закрывает рутину: массовое сканирование, поиск типовых уязвимостей, разбор больших объёмов кода и логов, черновики отчётов», — отметил он.
Эксперт считает, что наиболее эффективной остаётся модель совместной работы человека и искусственного интеллекта.
«Но заменить человека целиком он не может, потому что ему тяжело связать пару мелких слабостей в неочевидную цепочку атаки, почувствовать бизнес-логику конкретной системы, сыграть на социальной инженерии. Эффективная формула не «ИИ вместо хакера», а «ИИ как усилитель»: машина берёт на себя скорость и масштаб, человек — смекалку и финальную ответственность», — заключил Виктор Чащин.
