В Совете Федерации готовят закон для «белых хакеров» – «айтишников», которые проверяют информационные системы на уязвимость, но не наносят ей вред. Такие специалисты, наоборот, помогают противостоять настоящим хакерским атакам. Чем «белые хакеры» отличаются от «черных» и зачем им нужно законодательное регулирование – эксперты отрасли объясняют «ФедералПресс».
Инициативы Совета Федерации
«Белые хакеры» – специалисты по кибербезопасности, которые тестируют защищенность компаний, по согласованию с заказчиком, атакуя значимые сегменты инфраструктуры так, как это бы делали реальные киберпреступники. После этого компания получает отчет о слабых местах в защите и возможность закрыть все бреши и уязвимости.
Отметим, что услугами «белых хакеров» пользуются не только компании, но государственные структуры. Например, Минцифры проводит поиск уязвимостей платформы «Госуслуги» и других государственных порталов. Во время первого этапа Bug Bounty, проходившего с февраля по май 2023 года, по данным Миницифры, «белые хакеры» выявили 37 уязвимостей, которые уже устранили. Общая сумма вознаграждений составила 1,95 млн рублей.
Однако, несмотря на очевидную пользу таких специалистов, их работа никак законодательно не регламентируется. Действующее законодательство не содержит определения специалистов по кибербезопасности, которые тестируют защищенность информационных ресурсов, не урегулированы вопросы применения механизмов тестирования. Как заявил первый заместитель председателя Комитета по конституционному законодательству и государственному строительству Артем Шейкин, сейчас Совет Федерации разрабатывает проект федерального закона, целью которого является легализация деятельности по поиску уязвимостей и оценке защищенности информационных ресурсов, ее определение и установление государственного контроля за ее осуществлением.
«Законопроектом предлагается ввести в правовое поле три вида деятельности, для организации которых необходимо иметь лицензию ФСТЭК России», – передает слова сенатора «Парламентская газета».
Зачем хакерам законы
Корреспондент «ФедералПресс» опросил ИТ-экспертов, чтобы разобраться, нужны ли самим «белым хакерам» какие-то новые законы. Как считает член экспертного совета по развитию информационного общества и СМИ при Госдуме Вадим Манукян, эксперты по уязвимости ИТ-систем работают в сложной сфере, которая в любом случае требует законодательного регулирования.
«Любые инициативы общественного характера, которые помогают государству, должны поддерживаться и законодательно регулироваться. Конечно, энтузиазм – это замечательно, но они совершают действия, которые подпадают под нарушение закона, поскольку вторгаются туда, куда не должны», – рассказал Манукян в беседе с корреспондентом.
По его словам, необходимо законодательно закрепить механизмы, по которым «белые хакеры» смогут совершать свою деятельность. Надо полностью прописывать действия, которые помогают государству и компаниям, и отделить их от определенно незаконных. При этом он согласился, что сама по себе деятельность «белых хакеров» действительно полезна.
«Если речь будет идти о помощи государству и противодействии настоящим хакерам, то им надо помочь и законодательно закрепить все аспекты деятельности», – отметил Макунян.
С ним согласился эксперт Ассоциации Социальных Сетей Владимир Зыков, подчеркнув, что между работой обычных и «белых хакеров» слишком тонкая грань.
«Это связано с тем, что сегодня ты «белый хакер», а завтра просто хакер. Нужно защитить и компании, и самих экспертов. Первых – от незаконных посягательств, а вторых – от незаконных преследований за их работу», – рассказал эксперт Ассоциации Соцсетей.
Польза для обеих сторон
Подробное о деятельности «белых хакеров» и их работе с компаниями в беседе с «ФедералПресс» рассказал руководитель аналитического центра Zecurion Владимир Ульянов.
«Любая деятельность должна быть закреплена и урегулирована законом, тем более такая деликатная. С одной стороны, они занимаются полезными вещами, с другой – у всего должны быть определенные рамки. Надо исходить из того, как они ведут свою деятельность», – пояснил Ульянов.
Как объяснил эксперт, «белые хакеры» могут работать с компаниями или государственными структурами как по договору подряда, в котором указаны все параметры и правила выявления уязвимости, так и по принципу открытого конкурса по поиску уязвимости.
«Они должны понимать, что делать можно, а чего нельзя. В том числе, чтобы не привести заказчика к неприятной ситуации, нарушив работу системы. Регулирование отрасли будет в интересах обеих сторон: и компаний – потребителей таких услуг, и для исполнителей», – рассказал Ульянов.
Он отметил, что сами «белые хакеры» должны быть уверены, что не будут преследоваться за осуществление своей деятельности.
«Представьте, что он прошел на сайт и получил товар без оплаты, а потом сказал, что проверял работу системы – это насколько легально?» – отмечает Ульянов.
В заключение он подчеркнул, что для таких случаев деятельность ИТ – экспертов по уязвимости должна быть очень четко определена.
Изображение сгенерировано нейросетью Kandinsky 2.1