Легализация
В Совете Федерации ведется работа над новым законопроектом, который будет регулировать деятельность «белых хакеров» в рамках программ поиска уязвимостей в ИТ-системах за вознаграждение (Bug Bounty), пишет «Коммерсант».
Согласно проекту федерального закона, все компании, относящиеся к КИИ, будут обязаны проводить тестирование на уязвимости в своих ИТ-системах. Кроме того, законопроект предполагает установление финансовых требований к операторам платформ Bug Bounty.
«Белый хакер» он же пентестер - это специалист по информационной безопасности (ИБ). Он проводит пентесты (от penetration test — тест на проникновение), находит и устраняет уязвимости в ИТ-инфраструктуре компании, которые могут привести к потенциальному взлому. В отличие от обычных хакеров, он находит баги по запросу бизнеса и официально получает за это деньги.
Хоть цель закона - сделать российские ИТ-системы безопаснее. Российские компании все же боятся, что это будет стоить много денег и добавит лишней работы. Стоит отметить, что законопроект еще не внесен на рассмотрение, так как после его разработки необходимо получить отзыв от Правительства России. После доработки и обсуждения с ведомствами и представителями отрасли законопроект будет направлен в высший федеральный исполнительный орган государственной власти.
Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) России высказало мнение о целесообразности нового законопроекта, учитывая уже принятый в первом чтении законопроект о «белых хакерах» и отзыв Правительства России.
Мнения на российском рынке разделились. Некоторые поддерживают закрепления в законодательстве «белых хакеров», считая, что это может способствовать повышению уровня ИБ в компаниях, работающих с КИИ. Другие же опасаются, что законопроект может привести к дополнительным затратам и регуляторной нагрузке для самого бизнеса.
Государственные тарифы
Как в ноябре сообщил замминистра Минцифры Александр Шойтов, о чем сообщал CNews, в ведомстве рассматривает возможность закрепить государственные тарифы на выплаты «белым хакерам» за участие в поиске уязвимостей в ИТ?системах за вознаграждение.
По словам Шойтова, введение государственных тарифов станет одной из мер, которые направлены на «нормализацию процедуры». Он отметил, что многие российские федеральные и региональные органы власти уже используют программу Bug Bounty, однако пока не делают ее обязательной, как предлагают некоторые участники рынка.
В настоящее время сотрудники Минцифры обсуждают различные варианты с другими ведомствами и отраслью. Шойтов пояснил, что в будущем необходимо обосновать эффективность программы Bug Bounty, а также определить зоны ответственности участников тестирования.
По информации «Коммерсант», Минцифры рассматривает введение государственных тарифов за участие компаний и организаций в Bug Bounty. Исходя из тарифов заказчики смогут рассчитаться за пентесты. Собеседники на российском ИБ-рынке говорили, что обсуждались выплаты по федеральным округам в 30–50 тыс. руб. за критические уязвимости, для ИТ-сервисов - до 1 млн руб.
Директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков отметил, что бизнес сам сможет определять тарифы, но в работе с государственными ИТ-системами вопрос тарифообразования должен быть унифицирован.
При этом «белые хакеры» могут потерять мотивацию к поиску уязвимостей, если фиксированная цена за их нахождение не будет соответствовать реальному масштабу значимости и не будет отражать динамику рынка, заявил гендиректор компании «Интернет?розыск» Игорь Бедеров.
По данным BI.Zone, выплаты белым хакерам на ИТ-платформы Bug Bounty от ИБ-вендора за 2024 г. составили 59 млн руб.
Этичные хакеры
Первым примером легального взлома ИТ-систем считается проверка операционной системы (ОС) Multics Военно-воздушных сил (ВВС) Соединенных Штатов в 1974 г. В частных сетях заниматься ИБ с помощью взломов начали в 1990 г. после выпуска первого сканера уязвимостей SATAN. При его разработке исследователь Дэн Фармер (Dan Farmer) вручную взламывал сети.
В американской военной среде появилось разделение при пентесте на «красные шляпы» и «синие шляпы». Красные - дружественная атакующая команда, а синие — их противники, защитники ИТ-систем. Такой подход позволяет выявить все возможные слабые места и обучить ИБ-команду защитников борьбе с кибератаками.
Какие типы хакеров и взломщиков существуют: «Белые шляпы» - так называют этичных хакеров, противопоставляя их киберпреступникам. «Черные шляпы» - киберпреступники, которые владеют высоким уровнем технических знаний и навыков и с их помощью взламывают информационные системы. Название пришло из вестернов, где хорошие герои носили белые шляпы, а плохие - черные. «Серые шляпы» - хакеры, которые проводят взломы как черные, но имеют намерения белых. Они проникают в ИТ-системы без ведома владельца, чтобы найти слабые места. У них нет цели навредить, а наоборот, после кибератаки они сообщают владельцам о уязвимостях.