Предлагается скорректировать ответственность «белых хакеров»

Работу по регулированию ответственности «белых хакеров», расследующих уязвимости безопасности в различных системах, необходимо возобновить с учетом интересов бизнеса, сообщила на наблюдательном совете АНО «Цифровая экономика» генеральный директор организации Чулпан Госсамова.

В настоящее время принят первый пакет мер против кибермошенничества, второй прошел первое чтение в Госдуме, а третий пакет только что объявлен - Минцифры начало свое формирование. Председатель комитета Госдумы по информационной политике Сергей Боярский заявил, что второй пакет мер может быть принят до окончания созыва.

Вопрос легализации деятельности «белых хакеров» стоит на повестке дня уже несколько лет. «Белые» или «этичные» хакеры выступают в качестве внешних подрядчиков для ИТ-компаний и компаний с крупномасштабной ИТ-инфраструктурой и активно выявляют уязвимости, тем самым помогая компаниям устранять их до того, как они будут обнаружены и использованы злоумышленниками. Вопросы вызывает общая «серая зона» работы этих специалистов и классических хакеров, в частности то, что они используют для своей деятельности тот же набор программного обеспечения и инструментов, что и злоумышленники.

Сегодня мы видим очевидный разрыв между масштабом проблемы и скоростью ее системного решения, - отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

"С одной стороны, количество выявленных уязвимостей растет взрывными темпами - только в 2025 году "белые хакеры" обнаружили почти 14 тысяч уязвимостей в системах российских компаний и госорганов. С другой стороны, значительная часть этих проблем устраняется с задержками, что сохраняет реальные риски для пользователей и инфраструктуры. Это показывает: вопрос уже не в том, найдены ли уязвимости. Вопрос в том, как выстроена вся цепочка работы с ними - от обнаружения устранению и юридическому сопровождению деятельности специалистов", - говорит Немкин.

Эксперты, опрошенные "РГ", считают, что рынок bug bounty за последние годы фактически стал полноценным элементом системы кибербезопасности. Крупный бизнес, банки, ИТ-компании и государственные учреждения активно интегрируют работу независимых исследователей в свои процессы управления рисками. Более того, практика показывает, что это дает конкретные результаты, в том числе и в государственном секторе.

"В то же время нормативная база по-прежнему отстает от реальности. Отсутствие четкого правового статуса пентестеров создает неопределенность как для самих специалистов, так и для компаний, которые готовы с ними работать. Именно поэтому работу по корректировке регулирования необходимо возобновить", - уверен депутат.

На ситуацию можно посмотреть с разных сторон: с одной стороны, правовая неопределенность действительно существует, с другой – «работает, не трогайте».

«Потому что сделать это на 100% так, как хотят исследователи, все равно не получится — государство хочет иметь возможность наказывать злоумышленников и контролировать этот рынок», — объясняет Владимир Бенгин, директор по разработке продуктов группы компаний Solar.

По его словам, прежде чем начинать это движение, необходимо ответить на вопрос: почему?

"Хотим ли мы, чтобы в России было в десять раз больше исследователей и "белых хакеров" или, может быть, мы хотим, чтобы каждый программный продукт, каждая информационная система постоянно проверялись всеми, кто умеет держать компьютер в руках? Или, может быть, мы считаем, что необходимо наказать всех, кто даже попытается без спросу пропинговать объект CII? Лично я сторонник постоянной проверки инфраструктуры всеми доступными способами, но боюсь, что меня в этом мало кто поддержит", - поясняет свою позицию Бенгин.

В настоящее время правительство рассматривает обновленный пакет законопроектов, доработанный с учетом позиции отрасли и экспертного сообщества. Эксперты ожидают, что это позволит сбалансировать интересы государства, бизнеса и специалистов по безопасности.