Соответствующий законопроект внесут в Госдуму в ближайшее время.
В России готовятся внести в Госдуму законопроект о легализации так называемых «белых» хакеров. Таким специалистам разрешат легально проводить тестирование информационных систем при поступлении соответствующего запроса.
Если законопроект примут, компании смогут на официальной основе привлекать «этичных» хакеров. Они станут выявлять слабые места в информационных системах компаний. Рассмотрение законопроекта должно пройти до конца весенней сессии.
В документе прописаны сценарии проверок систем на уязвимость. Это может быть как тестирование, попытка проникнуть в информационную систему, так и практическая демонстрация определенных угроз информационной безопасности. Тесты планируется проводить в рамках программы Bug Bounty, когда компания-заказчик нанимает сторонних специалистов для этого процесса.
Некоторые компании в России уже пользуются услугами «этичных» хакеров. Среди них: «Яндекс», Ozon, VK и «Тинькофф». Но в текущей ситуации в стране существуют определенные риски для таких специалистов, поэтому они с опаской относятся к подобным предложениям. Принятие законопроекта позволит легализовать их деятельность. Кроме того, понятия Bug Bounty до сих пор нет в российском юридическом правовом поле, поэтому список программ, доступных для тестирования на уязвимость, мал. Кроме того, эта работа несет риск уголовной ответственности.
Сейчас, чтобы сделать тесты, нужно получить множество разрешений от правообладателя информационной системы. Если разрешения нет, исполнитель может получить штраф или иные санкции. Поправки в закон предоставят хакерам больше свободы и расширят пул заказчиков.
Есть статистика по привлечению «белых» хакеров. Например, VK в 2023 году заплатили более 34 миллиона таким специалистам. Всего обработано более 1,5 тысячи отчетов и добавила три новых сервиса — Skillfactory, умная колонка VK Капсула и VK Customer Experience Hub. «Яндекс» в прошлом году заплатил «белым» хакерам 70 миллионов рублей.
Фото: Mika Baumeister / Unsplash.com
