В СФ готовят закон о легализации «белых» хакеров

Совет Федерации совместно с экспертами в области информационной безопасности разрабатывает закон для легализации деятельности так называемых «белых» хакеров. Об этом сообщил зампред Совета по развитию цифровой экономики при СФ, член Комитета верхней палаты по конституционному законодательству и госстроительству Артём Шейкин.

По его словам, сейчас в российских законах не даётся определение специалистов по кибербезопасности, которые тестируют защищённость информресурсов. Кроме того, не урегулированы вопросы применения таких механизмов тестирования, как пентест и Bug Bounty, которые позволяют проверить защищённость инфраструктуры или отдельных её элементов в условиях, максимально приближенных к реальности, когда хакеры ведут атаку на компанию.

«Таким образом, у специалистов по поиску уязвимостей возникают опасения в связи с риском неоднозначной правовой оценки их деятельности», — пояснил Шейкин в авторской колонке в «Парламентской газете».

В документе, который готовят в верхней палате, хотят дать определение деятельности по поиску уязвимостей, легализовать её и установить за ней государственный контроль.

Законопроектом предлагается ввести в правовое поле три вида деятельности, для организации которых необходимо будет иметь лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.

В первую очередь, речь идёт о проведении программ по поиску уязвимостей информресурсов, к которым приравниваются программное обеспечение (ПО) и мобильные приложения. Заказчик сможет привлечь специалистов по информбезопасности на специальной платформе.

Кроме того, лицензия понадобится для реализации проектов по оценке защищённости информресурса. Заказчик сможет платно протестировать сервис на критические уязвимости. 

В новелле предлагается прописать и инициативную деятельность исследователей – специалист, имеющий соответствующее разрешение, сможет сам сообщать о выявленных уязвимостях.

Законопроектом также предлагается ввести понятийный аппарат, определить состав участников, полномочия регуляторов по контролю, а также особенности проведения госзакупок для реализации мероприятий по поиску уязвимостей и оценке защищённости государственных и муниципальных информационных ресурсов

Артём Шейкин, член Комитета СФ по конституционному законодательству и госстроительству

Напомним, ещё в июле 2022 года Минцифры предложило легализовать и ввести в правовое поле деятельность так называемых «белых» хакеров, которые работают над выявлением уязвимостей ПО, чтобы их не привлекали к ответственности по статье 272 УК РФ за неправомерный доступ к компьютерной информации.

Представители «Ростелекома» сообщали, что объём кибератак на Российскую Федерацию не уменьшается, при этом наша страна научилась с ними оперативно справляться.