В России планируется создание отдельного реестра для белых хакеров
Image: OpenAI
По данным крупных российских СМИ, профильные государственные структуры, включая МВД, ФСБ и Минцифры России, заинтересованы в создании отдельного реестра для белых хакеров с целью официальной легализации их деятельности. Однако эксперты рынка убеждены, что подобная инициатива недостаточно проработана, так как перечень ИБ-специалистов, специализирующихся на поиске уязвимостей в компонентах критической инфраструктуры и информационных систем, будет представлять серьёзный интерес для спецслужб других стран и злоумышленников.
Артём Шейкин, член Комитета Совета Федерации по конституционному законодательству и государственному строительству, заявил журналистам, что возможность создания реестра белых хакеров и их дальнейшая сертификация прорабатывается в ходе разработки проекта закона о белых хакерах.
Источник в одной из крупных российских компаний по кибербезопасности рассказал журналистам, что создание реестра и сертификация могут обезопасить функционирование программ выявления уязвимостей на значимых объектах, включая критическую информационную инфраструктуру. Специалист также указал на то, что реализация такого проекта закона поможет в легализации многих других направлений, связанных с наступательной и превентивной безопасностью, а также устранением «серых зон», в которых сегодня работают многие белые хакеры.
При этом ряд специалистов отмечают, что данная инициатива имеет и серьёзные слабые места. В частности, существует вероятность возникновения жёстких бюрократических требований к процессу добавления белого хакера в соответствующий перечень, чтобы он мог участвовать в программах bug bounty.
Такой подход, по мнению аналитиков, может отпугнуть большую часть потенциальных участников проекта, и в такой ситуации белым хакерам будет проще продать обнаруженные уязвимости киберпреступникам, чем получать за них официальные вознаграждения, которые могут быть значительно меньше, чем те, что предлагают в теневом сегменте интернета.
Игорь Баранов, адвокат, эксперт Национального антикоррупционного комитета, преподаватель Академии информационных систем, заявил журналистам портала CISOCLUB: «Создание любого реестра не может даже потенциально освобождать компьютерного специалиста от уголовной ответственности, поскольку УК РФ не содержит для этого оснований. Принятие закона о белых хакерах, о разработке которого сообщается в СМИ, возможно изменит ситуацию, но бюрократические механизмы с очередной сертификацией деятельности специалистов, только усложняющих их работу, нивелирует все преимущества легальной работы специалистов.
Очевидно, что без внесения изменений в УК РФ, декриминализации уголовного деяния белых хакеров при определенных обстоятельствах, меры по созданию реестра и сертификации, предлагаемые законодателем, не решают проблему с привлечением к ответственности компьютерных специалистов, не удовлетворяют потребностям рынка IT-индустрии в легальном поиске уязвимостей.
Как известно, правоохранительные органы последовательно выступают против легализации деятельности белых хакеров. Создание реестра или сертификат не гарантируют специалисту отсутствие претензий со стороны следственных органов, которые не особо разбираясь в тонкостях процесса поиска уязвимости, могут установить признаки преступления и возбудить уголовное дело.
Поэтому убежден, что только декриминализация деятельности белых хакеров гарантирует отсутствие проблем с законом при поиске уязвимостей. Иные меры создают лишь избыточные бюрократические процедуры, поэтому не способствуют легализации деятельности белых хакеров. Без решительных и серьезных изменений отрасль поиска уязвимостей так и будет оставаться вне закона, а реестры, сертификаты, госплатформы для поиска уязвимостей — это аналоговый подход при регулировании цифрового пространства со всеми вытекающими последствиями и проблемами».
Александр Зубриков, генеральный директор ITGLOBAL.COM Security: «Легализация белых хакеров в целом – крайне полезное действие, которое однозначно позитивно повлияет на развитие не только уровня ИБ бизнеса, но и сделает эту профессию более привлекательной для граждан, будет способствовать развитию рынка труда в сфере. Создание же реестра для белых хакеров – инициатива противоречивая. Высокая вероятность того, что многие просто не захотят, чтобы информация о них находилась в этом реестре, либо не будут готовы к решению бюрократических вопросов. В итоге эти люди уйдут в «серое поле». Кроме того, остается неясным назначение этого реестра. Какую проблему он будет решать, как участники рынка будут с ним взаимодействовать, кем он будет регулироваться – все эти вопросы на данный момент не имеют ответов».
