ФСБ и МВД обсуждают создание в России реестра белых хакеров
Реестр и сертификация белых хакеров могут обезопасить работу программ поиска уязвимостей со значимыми объектами. Считается, что это может легализовать направления, связанные с превентивной и наступательной безопасностью.
Реестр белых хакеров
Совет Федерации, Федеральная служба безопасности (ФСБ) России, Министерство внутренних дел (МВД) России и компании, занятые в сфере информационной безопасности (ИБ), изучают возможность создания реестра белых хакеров для легализации их деятельности в стране. Об этом в конце августа 2024 г. сообщило издание «Ведомости».
Возможность создания реестра белых хакеров и их сертификации прорабатывается в рамках законопроекта о белых хакерах, пояснил СМИ член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин.
В ИТ-отрасли считают такую инициативу сырой, так как список ИБ-специалистов, которые занимаются исследованиями уязвимостей в компонентах критической инфраструктуры ИТ-систем, будет интересен злоумышленникам и спецслужбам других стран. Российские эксперты ИТ-отрасли считают, что у инициативы есть слабые места, в том числе введение жестких бюрократических требований к процедуре вступления в ряды белых хакеров для участия в программах bug bounty, что может отпугнуть потенциальных участников от присоединения к проекту. В этом случае хакеры могут получать больше за уязвимости в черной паутине, чем официальные вознаграждения, что стимулирует их к поиску и продаже ИТ-уязвимостей вместо привлечения внимания к ним и сотрудничества с ИБ-разработчиками для их исправления.
«Учитывая, что в России почти любой реестр рано или поздно утекает, это представляет серьезную опасность для людей, в нем находящихся, так как против них не только могут быть введены персональные санкции США и других стран, но и их жизни будут подвергаться опасности. США уже демонстрировали свои возможности по экстрадиции российских ИТ- и ИБ-специалистов и предъявлению им обвинений», - сказал эксперт по безопасности Positive Technologies Алексей Лукацкий.
Белые хакеры, также известный как этичный хакер - это специалист по кибербезопасности, который использует свои хакерские навыки и знания для выявления уязвимостей и слабых мест в компьютерных системах, сетях или приложениях. Белые хакеры имеют разрешение от организации на проведение тестирования безопасности и работают в рамках правовых и этических норм. Их главная цель - помочь организациям повысить уровень ИБ в компании, обнаружив уязвимости и сообщив о них. Этичные хакеры используют различные ИТ-инструменты, техники и методологии для моделирования реальных кибератак и оценки уровня безопасности целевой ИТ-системы. Они часто сотрудничают с ИТ-отделом и службой по ИБ в организации, чтобы устранить выявленные уязвимости и предотвратить несанкционированный доступ или утечку данных. Белые хакеры могут получить такие сертификаты, как Certified Ethical Hacker (CEH) или Offensive Security Certified Professional (OSCP), чтобы продемонстрировать свою компетентность и приверженность этическим методам взлома.
Предпосылки к созданию
В декабре 2023 г. в Госдуму России был внесен на рассмотрение законопроект №509708-8 «О внесении изменений в статью 1280 части четвёртой ГК РФ», предполагающий легализацию в России деятельности белых хакеров. Он предполагает, что ИБ-экспертам можно будет проводить исследования программ для электронно вычислительных машин (ЭВМ). При обнаружении уязвимостей в ИТ-системе безопасности программ для ЭВМ белые хакеры должны будут сообщить о находке правообладателю в течение пяти рабочих дней.
В отзыве правительства речь идет о том, что в представленном регулировании не учитывается необходимость информационного обеспечения деятельности, которое проводится уполномоченными органами федеральной исполнительной власти в соответствии с российским законодательством «О государственной тайне» и «Об информации», а также в сфере обеспечения безопасности российской критической информационной инфраструктуры (КИИ).
В Правительстве России также подчеркивают, что интересам обеспечения безопасности России не отвечает возможность передачи данных об обнаруженных белыми хакерами уязвимостях в программном обеспечении или в базах данных (БД) правообладателям, которые находятся под юрисдикцией государств, совершающих в отношении России недружественные действия.
В ноябре 2023 г. Генеральная прокуратура (Генпрокуратура) России, МВД и Следственный комитет (СК) в рамках совещания в Госдуме, которое было посвящено поправкам в Уголовный кодекс (УК), выступили против легализации деятельности белых хакеров в стране. Ведомства обсуждали внесение поправок в УК, которые выводят из-под его действия создание и использование вредоносного софта белыми хакерами по заданию заказчика.
По мнению профильных юристов, сейчас в УК РФ есть целый ряд статей, под которые может подпадать деятельность белых хакеров. В их числе «неправомерный доступ к компьютерной информации», «создание, использование и распространение вредоносных компьютерных программ», «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации». Для того чтобы легализовать белых хакеров, Минцифры России придется вносить изменения в несколько статей УК и прописывать там, что действия белых хакеров не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции.