Комитет ГД одобрил поправки в ГК РФ, направленные на легализацию «белых» хакеров.
Комитет Госдумы по госстроительству и законодательству рекомендовал палате парламента принять в первом чтении первый из пакета законопроектов, направленных на легализацию деятельности «белых» хакеров в России. Авторы законопроекта предлагают внести ряд поправок в ст. 1280 части четвертой Гражданского кодекса РФ.
Тестирование по разрешению
Сегодня для проведения тестирования защищенности систем российских компаний «белым» хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы.
Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав. В таком случае «белых» хакеров могут обязать выплатить компенсации в размере от 10 тыс. рублей до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы.
Новые условия
Исходя из этого законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ или экземпляром базы данных, в целях выявления его уязвимостей для исправления явных ошибок. Также этот процесс можно поручить иным лицам при соблюдении ряда условий: выявление уязвимостей осуществляется исключительно в
отношении экземпляров программ для ЭВМ и базы данных,
функционирующих на технических средствах пользователя; передавать информацию о выявленных пробелах можно только правообладателю или тем, кто будет искоренять эти уязвимости, если иное не установлено
законом.
Согласно законопроекту, «белые» хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, за исключением случаев, если установить его место нахождения, место жительства или адрес для переписки не удалось.
Привычный инструмент
Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов.
Работа «белых» хакеров должна стать сегодня обыденным и необходимым инструментом для российских компаний, уверен один из авторов законопроекта, член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
«Сегодня государственным органам и крупным корпорациям, которые зачастую и сами имеют собственный штат квалифицированных ИТ-специалистов, важно систематически привлекать «белых» хакеров как независимых профессионалов. Это связано с тем, что они могут со своей стороны проверить безопасность информационных систем, используя те же инструменты, что и их неэтичные коллеги. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам – в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы. Тестируя ИТ-системы на прочность, «белый» хакер действует по поручению и с согласия владельца такой системы и не совершает чего-либо незаконного. Наша цель – добиться того, чтобы это было закреплено в законодательстве, а сами специалисты получили больше свободы для своей работы на благо государства», – отметил депутат.
Вывести из тени
На фоне увеличившегося количества атак на российские информационные системы, страна нуждается в регулировании, которое выведет работу с такими специалистами в правовую плоскость.
«Сейчас особенно важно защищать ключевые государственные системы и сервисы от беспрецедентных внешних атак – в 2023 году их количество выросло на 65% по сравнению с предыдущим годом. Тем не менее, российский рынок баг-баунти находится в стадии становления и пока очень мал – его объем в 2023 г. не превысил 200 млн рублей. Отчасти это связано с тем, что в России существуют определенные риски для работы «белых» хакеров, поэтому сегодня они не спешат выходить из тени. Мы стараемся решить эту проблему нашими законопроектами. Уверен, когда они вступят в силу, популярность «белых» хакеров возрастет кратно», – считает Антон Немкин.
Сегодня услугами этичных хакеров уже пользуются некоторые компании. Например, «Яндекс» в 2023 г. за поиск уязвимостей в сервисах и инфраструктуре заплатил таким специалистам 70 млн рублей. В этом году на эти цели выделят уже 100 млн рублей. В компании также проводят конкурсы по поиску конкретных типов ошибок, в рамках которых награды могут увеличиваться в 10 раз по сравнению с обычными выплатами. При этом сам Яндекс видит конкретную пользу от проведения таких конкурсов – они помогают сфокусировать внимание «белых» хакеров на наиболее важных для компании направлениях безопасности. Например, один из таких конкурсов провели специально для поиска уязвимостей, которые могли бы привести к
утечкам данных. Свои программы также запускают Ozon, VK, «Тинькофф».
