Проект закона о легализации профессиональной деятельности белых хакеров на территории РФ отложен на неопределенный срок из-за позиции ФСБ и ФСТЭК по этому вопросу. Журналисты отмечают, что эти госструктуры не хотят изменять Уголовный кодекс, смягчать или отменять наказание для киберпреступников, взламывающих информационные системы.
Летом 2022 года в Минцифры РФ рассказали, что собираются ввести в российские законы понятие «Баг баунти» (Bug Bounty), а также легализовать деятельность белых хакеров. В связи с этим было заявлено, что ведомство занимается разработкой проекта закона, в соответствии с которым исследователи безопасности смогут получать легальное вознаграждение за найденные уязвимости, не попадая при этом под штрафы и наказания в соответствии со ст. 272 Уголовного кодекса РФ.
Однако журналисты издания «Ведомости», ссылаясь на свои информированные источники, подчеркнули, что представленный проект закона не прошел проверку в ФСБ и ФСТЭК России. Эти госструктуры убеждены, что принятие этого документа в его текущем виде ведёт к «либерализации некоторых положений УК РФ», что противоречит позиции ведомств.
Профильные эксперты во время общения с журналистами издания «Ведомости» подчеркнули, что границы между уголовно наказуемыми деяниями и легальными, между ответственностью экспертов по информационной безопасности и ответственностью владельца информационной системы крайне зыбкая.
Представители отрасли информационной безопасности России также указали на то, что на сегодняшний день действия пентестеров уязвимы с точки зрения уголовной ответственности, потому что таких специалистов могут посчитать виновными в получении незаконного доступа к конфиденциальным данным, а также в разработке и распространении вредоносного программного обеспечения. Максимальный срок лишения свободы за подобные деяния в России составляет до 7 лет.
Эксперты отрасли подчеркнули, что юридическое определение в правовом поле действий пентестов, которые анализируют системы на присутствие уязвимостей, программ предоставления вознаграждений белым хакерам за явление ошибок, по аналогии с иностранными программами Bug Bounty, позволит сделать действия исследователей безопасности легальными и предоставит им возможность применять специальное ПО в рамках улучшения механизмов информационной безопасности.
Представители отрасли также убеждены, что на данный момент многим организациям проще обращаться в правоохранительные органы и заводить на IT-специалистов уголовные дела, чем выплачивать им вознаграждение за выявленные уязвимости в системах.
