Создание реестра и сертификация помогут вывести этичных хакеров из серой зоны и легализовать профессию

В российском ИТ-сообществе вновь обсуждают необходимость создания прозрачной правовой среды для так называемых белых хакеров — специалистов, выявляющих уязвимости в системах с согласия владельцев. Поводом стало обсуждение на пресс-конференции «Российский кибербез в 2025 году: победы в мире и дефицит кадров в России», где президент группы компаний «Эшелон» Алексей Марков предложил на законодательном уровне закрепить статус независимых пентестеров через введение сертификации, этического кодекса и государственного реестра.

Алексей Марков уточнил, что сейчас этичные хакеры в России делятся на две категории. Первая — специалисты, официально работающие в компаниях, где их действия защищены условиями трудового контракта. Вторая — независимые пентестеры, не связанные трудовыми соглашениями. Именно эта группа остаётся в правовом вакууме: неясно, какие задачи разрешено выполнять, какие системы проверять и каким образом получать оплату за услуги без риска юридических последствий.

Алексей Марков напомнил, что в зарубежной практике существует чёткая модель взаимодействия с этичными хакерами. В ряде стран действуют международные экзамены, по итогам которых выдаются сертификаты, а также утверждён кодекс из 19 пунктов, определяющий нормы поведения специалиста. Такой подход, как отметил он, позволил создать устойчивое сообщество независимых исследователей, зарабатывающих на выявлении уязвимостей и сотрудничающих с крупными компаниями в рамках программ bug bounty.

Российская модель, по мнению Алексея Маркова, пока не способна предоставить аналогичную свободу действий. Независимый специалист может действовать только в рамках структур, имеющих соответствующую лицензию на проведение тестов на проникновение. Это ограничивает развитие рынка и сдерживает формирование полноценной школы профессиональных хакеров, способных конкурировать на международной арене. При этом он уточнил, что копировать зарубежные механизмы буквально не получится: необходимо учитывать российские реалии и специфику законодательства.

Свою точку зрения выразил и Дмитрий Фёдоров, директор дивизиона развития молодёжных инициатив направления «Молодые профессионалы» Агентства стратегических инициатив. Он заявил, что одной из задач агентства становится формализация статуса белых хакеров и выстраивание диалога между бизнесом и государственными структурами. По его словам, легализация этой сферы требует сбора инициатив, экспертной проработки и обсуждения на соответствующих площадках. Дмитрий Фёдоров подчеркнул, что процесс подготовки нормативных документов неизбежно порождает сложности: терминология, распределение ответственности, выстраивание понятных процедур.

Алексей Варлаханов, руководитель отдела прикладных систем Angara Security, заявил в комментарии для CISOCLUB: «Позиция ИТ-сообщества по созданию реестра и сертификации этичных хакеров в России вполне понятна. Такой шаг поможет вывести специалистов из «серой зоны», где они сейчас работают без достаточной правовой защиты и поддержки. Главное, чтобы участие в реестре и сертификация были добровольными, иначе существует риск отпугнуть лучших специалистов и подтолкнуть их к работе за границей. Добровольное участие станет не только гарантией качества и безопасности предоставляемых услуг, но и возможностью для «белых хакеров» войти в элитное сообщество, получить доверие заказчиков и лучшие заказы.

Реестр и сертификация не только легализуют профессию, но и помогут формировать культуру этичного хакинга, что важно для развития всей отрасли кибербезопасности в России. Это позволит защитить интересы компаний и государства, одновременно стимулируя специалистов совершенствовать навыки. В целом, создание такого реестра — не про ограничение свободы, а про признание и поддержку профессионалов, которые работают на благо безопасности цифрового пространства страны».

Виктор Чащин, директор по стратегическому развитию компании МУЛЬТИФАКТОР: «Всего три года назад работа вольнонаёмным белым хакером или пентестером в РФ была достаточно рискованным занятием: несмотря на договорённости с компаниями, для которых проводилось исследование на уязвимости, можно было получить в ответ обвинение в неправомерном доступе, взломе систем или краже корпоративных данных. После появились площадки для организации баг-баунти программ, которые принесли в эту сферу немного упорядоченности и расписали зоны ответственности в случае каких-то форс-мажоров.

Текущее предложение – логичный шаг в развитии легализации института белых хакеров, переносящий частные инициативы на государственный уровень. В этом случае обе стороны – и заказчик, и исполнитель, изначально будут знать границы дозволенного и рамки ответственности».

Андрей Мишуков, генеральный директор iTPROTECT: «В настоящий момент риски для белых хакеров нивелируются в рамках крупных программ Bug Bounty, где компании сами представляют свои ресурсы для проверки защищенности, описывают возможные правила участия, условия оплаты и прочие детали.

Белые хакеры регистрируются в программах, входят в специальные тестовые зоны, где могут работать с информационными системами.

Однако проблема в том, что программы Bug Bounty достаточно дорогие как с организационной, так и с финансовой точки зрения для компаний-участников, поэтому чаще всего туда идет крупный бизнес. Если же рассматривать отношения среднего бизнеса и белых хакеров, которые готовы протестировать какой-то сервис, то действительно в этом вопросе существует правовой пробел. И риски для этих хакеров довольно серьезные, в том числе с точки зрения уголовного преследования».

Алексей Иванов, руководитель отдела тестирования на проникновение компании «ЛИНЗА»: «Создание понятных правовых условий для белых хакеров — действительно, назревшая мера. Сегодня роль таких специалистов всё заметнее: именно они помогают бизнесу вовремя находить и устранять уязвимости в инфраструктурах, но при этом сами остаются вне правового поля. Введение официального статуса позволит им работать легально и открыто, расширит возможности взаимодействия с бизнесом. Главное не перегнуть палку: избыточные требования и бюрократия могут отпугнуть профессионалов и свести эффект инициативы на нет. Баланс между регулированием и свободой действий — ключ к развитию этого направления».