В программе поиска уязвимостей в информационных системах, которую проводит Минцифры, принимают участие уже 16 тыс. «белых» хакеров.
Минцифры проводит второй этап программы багбаунти с ноября 2023 года. На данный момент уже 16 тыc. этичных или «белых» хакеров занимаются поиском уязвимостей на Госуслугах, СМЭВ, платформе обратной связи и в других государственных системах.
Максимальное вознаграждение, которое они могут получить, — 1 млн рублей. Как показали промежуточные итоги второго этапа программы, специалисты смогли обнаружить около 100 уязвимостей в 10 системах. Большинство из них — с низкой степенью критичности.
Первый этап проходил с февраля по май 2023 года, тогда в нём приняли участие более 8 тыс. человек. Как напомнили в Минцифры, для того чтобы принять участие в программе и получить 1 млн рублей, нужно иметь гражданство России, быть старше 18 лет, зарегистрироваться на платформах BI.ZONE Bug Bounty или Standoff 365 Bug Bounty, а также обязательно соблюдать правила багбаунти‑платформ. «Специалисты проверяют только внешний периметр систем и не имеют доступа к внутренним данным, а системы мониторинга контролируют работу багхантеров — поэтому найденные уязвимости нельзя использовать для взлома», — добавили в министерстве.
Этичные хакеры, также известные как «белые» хакеры, играют важную роль в защите информационных систем и сетей от вредоносных атак, напомнил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
«В первую очередь, этичные хакеры проверяют системы на наличие слабых мест, которые могут быть использованы злоумышленниками. Это помогает организациям обнаружить и устранить уязвимости до того, как они будут использованы в реальных атаках. Они также помогают разработчикам и администраторам систем улучшать меры безопасности, предлагая рекомендации и решения для защиты данных и инфраструктуры. Кроме того, «белые» хакеры также могут обучать сотрудников и пользователей принципам кибербезопасности, что снижает риск успешных атак, связанных с человеческим фактором, такими как фишинг или социальная инженерия», — отметил депутат.
Несмотря на очевидную пользу, которую приносит работа «белых» хакеров, сегодня они находятся в уязвимом положении с точки зрения российского законодательства, подчеркнул Немкин. «Например, для проведения тестирования защищенности систем компаний сегодня «белым» хакерам требуется получить массу разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав, а самих «белых хакеров» могут обязать выплатить компенсации в размере от 10 тысяч рублей до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы. Столкнуться этичные хакеры могут и с уголовной ответственностью», — рассказал он.
Для того, чтобы перечисленные угрозы не становились препятствием для работы этичных хакеров, был разработан пакет законопроектов, которые должны помочь легализовать их работу в России.
«Один из законопроектов, предлагающий поправки в Гражданский кодекс, уже внесен в Госдуму и рекомендован Комитетом по госстроительству к принятию в первом чтении. Он регулирует возможность проведения тестирования защищенности систем без нарушения авторских прав их создателей и владельцев. К внесению готов и второй законопроект – он предлагает внести поправки в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации». Сейчас он проходит последние согласования. Этот законопроект предусматривает поправки в законодательство, которые закрепят возможность оператора информационной системы на условиях, определяемых им, проводить мероприятия по выявлению уязвимостей информационной системы, в том числе с привлечением специалистов, которые не являются его сотрудниками. Также в работе у нас поправки в Уголовный кодекс, которыми предлагается дополнить ряд статей УК РФ для исключения возможных рисков привлечения к уголовной ответственности «белых» хакеров», — рассказал Немкин.
Как подчеркнул депутат, сегодня мы живем в мире, в котором информация является важным аспектом жизни общества, а защита информационного поля страны — это важный механизм работы всех систем. «Белые» хакеры могут стать действенным инструментом обеспечения этой защиты, если мы позволим им использовать все свои навыки с соблюдением определённых правил на благо страны», — заключил он.
