Уязвимостям очертили границы

Новая редакция законопроекта о регулировании деятельности «белых хакеров», отклоненного Госдумой в середине июля, уже подготовлена и может быть повторно внесена, выяснил “Ъ”. Власти подчеркивают необходимость учитывать риски, связанные с передачей данных об уязвимостях зарубежным компаниям, но эксперты считают, что такая изоляция ударит по безопасности самих же российских пользователей, продолжающих использовать иностранные сервисы. При этом в России уже есть собственные базы данных об уязвимостях, как государственные, так и коммерческие.

Выйти из полноэкранного режима

Развернуть на весь экран

Один из авторов отклоненного Госдумой законопроекта о регулировании деятельности «белых хакеров» Антон Немкин рассказал “Ъ”, что новая версия для повторного внесения инициативы «уже готова». В пресс-службе Минцифры РФ “Ъ” подтвердили, что рассмотрят новую версию согласно регламенту.

Законопроект о деятельности «белых хакеров» был внесен на рассмотрение Госдумы 12 декабря 2023 года. Осенью 2024 года он был принят в первом чтении и после остался без движения. В конце марта зампред комитета Совфеда по конституционному законодательству и госстроительству Артем Шейкин обращался к заместителю главы Минцифры Ивану Лебедеву с напоминанием о необходимости регулировать программы Bug Bounty (поиск уязвимостей в IT-системах за вознаграждение), в частности, создать возможность привлечения независимых исследователей (см. “Ъ” от 31 марта). В ходе второго чтения, 8 июля, законопроект был отклонен по решению комитета Госдумы по государственному строительству и законодательству.

В заключении в качестве основных причин указывается на то, что не учтены особенности защиты гостайны и критической информинфраструктуры (КИИ).

Кроме того, по мнению комитета, «передача информации о выявленных недостатках программ для ЭВМ и (или) базы данных правообладателям, находящимся под юрисдикцией государств, совершающих недружественные действия в отношении РФ, не отвечает интересам безопасности РФ». В комитете по госстроительству и законодательству, отклонившем законопроект, на запрос “Ъ” не ответили.

Запрет делиться информацией об уязвимостях в ПО иностранных вендоров может скорее повредить как бизнесу, так и обычным пользователям, считает бизнес-консультант по ИБ группы Positive Technologies Алексей Лукацкий. Последняя продолжает пользоваться иностранными решениями в тех сферах, где не установлены требования по импортозамещению. Если запрет будет закреплен, то он создаст эффект «исследовательского пузыря», считает руководитель направления анализа защищенности компании «Информзащита» Анатолий Песковский. «Для подавляющего большинства исследователей путь в профессию закроется либо потребует серьезной самоцензуры»,— добавил он.

Другие представители отрасли призывают дождаться финальной версии проекта. Если негативные последствия запрета будут перевешивать, законопроект вряд ли примут, считает коммерческий директор компании «Код Безопасности» Федор Дбар.

В России уже действуют собственные коммерческие базы данных, где собрана информация об уязвимостях, а также БДУ ФСТЭК, отличающийся ориентацией на КИИ.

Также собственный портал был запущен компанией Positive Technologies. Он аккумулирует сведения более чем о 300 тыс. уязвимостей, собранных из открытых международных источников. По мнению директора по анализу защищенности компании Дмитрия Серебрянникова, ресурс не может попасть под запрет предоставления данных об уязвимостях в иностранном ПО, «так как по сути использует то, что уже и так есть в публичном поле». Он добавил, что создавать ограничения для доступа к порталу компания не планирует. «Наоборот, мы хотим, чтобы он был точкой притяжения для исследователей, специалистов по ИБ со всего мира, и альтернативой MITRE. Порталом можно пользоваться на бесплатной основе, а информация на нем представлена на английском языке»,— добавил он.

Филипп Крупанин