Хакеры вскроют регулирование
Поиск уязвимостей в системах может стать обязательным для КИИ и госорганов
Комитет Госдумы по информполитике и IT готовит еще один законопроект, направленный на легализацию работы «белых хакеров». Он, в частности, стандартизует тестирование информсистем в госсекторе и критической информационной инфраструктуре (КИИ). Согласно документу, правительство с ФСБ получат право самостоятельно определять порядок и время проверки IT-систем. Участники рынка кибербезопасности приветствуют инициативу, однако компании КИИ опасаются дополнительной ответственности за работу «белых хакеров».
Рисунок: Виктор Чумачев, Коммерсантъ
Рисунок: Виктор Чумачев, Коммерсантъ
“Ъ” ознакомился с законопроектом, направленным на легализацию работы «белых хакеров», который разрабатывает комитет Госдумы по информполитике, IT и связи в дополнение к документу, уже внесенному в Госдуму в декабре 2023 года. Первый проект касался прав компаний привлекать таких специалистов, но не организации процесса. Новый законопроект предлагает внести изменения в ст. 16 149-ФЗ «Об информации» и уточняет, на каких основаниях компании, в том числе имеющие статус КИИ, и госорганы вправе привлекать «белых хакеров» и использовать платформы Bug Bounty (тестирование систем на проникновение).
Согласно документу, организовать такую проверку компании смогут как через прямое соглашение с лицами, привлекаемыми для тестирования («белыми хакерами»), так и разместив договор публичной оферты для привлечения специалистов.
Правительство получит полномочия «устанавливать требования к порядку и условиям» проведения тестирований «белыми хакерами». Они распространятся на госорганы, в том числе субъектов РФ, органы местного самоуправления и субъекты КИИ.
Все мероприятия должны будут согласовываться федеральным органом власти в области безопасности, сказано в законопроекте. Собеседник “Ъ” на рынке кибербезопасности считает, что под таким органом подразумевается ФСБ.
Легализация работы «белых хакеров» обсуждается с 2022 года на фоне резкого роста кибератак на российские IT-системы после начала конфликта на Украине.
Сначала идея ввести в правовое поле «легальных хакеров» вызвала вопросы у силовых ведомств: Генпрокуратура, МВД и Следственный комитет выступали против. Тем не менее в декабре 2023 года в Госдуму поступил первый проект (поправки к ст. 1280 четвертой части ГК РФ).
Как сообщал в интервью “Ъ” в декабре соавтор проекта, член комитета Госдумы по информполитике, IT и связи Антон Немкин, первый законопроект о «белых хакерах» меняет положения законодательства, которые не разрешают таким специалистам проводить тестирования информсистем без разрешений от правообладателя каждой программы (см. “Ъ” от 29 декабря 2023 года).
Господин Немкин уточнил “Ъ”, что «второй проект готов к внесению, он проходит последние согласования». «Нужно понимать, что сейчас легализация "белых хакеров" — необходимость, так как компании уже пользуются их услугами»,— подчеркнул он. Тем не менее, уточнил Антон Немкин, российский рынок Bug Bounty находится в стадии становления и пока очень мал — его объем в 2023 году не превысил 200 млн руб. В Минцифры “Ъ” сказали, что «не имеют информации о другом законопроекте по данной теме».
В Angara Security говорят, что более 40% нападений на IT-инфраструктуру ведомств связаны с вредоносным программным обеспечением (ПО), фишингом и DDoS-атаками на сетевое оборудование, сайты и серверы. «Контролируемый "белый хакинг" государственных организаций наряду с выходом на Bug Bounty позволит выявлять критичные проблемы более оперативно и акцентировать внимание на инвестиции в усиление безопасности госсектора»,— считают в компании.
Однако представители компаний КИИ называют инициативу неоднозначной.
«На сегодня и сами предприятия, и подрядные организации сделали уже многое для обеспечения безопасности КИИ, поставили отечественное железо и программы из реестра, собрали обученные команды»,— подчеркивает коммерческий директор «Уралэнерготела» Игорь Голенький. Если начнут вводить новые требования, полагает он, предприятия «будут вынуждены изыскивать деньги на модернизацию, пускать в свои системы "белых хакеров", а главное — нести ответственность, если они что-то нарушат».