Белым хакерам допишут контроль
На каких условиях бизнес готов легализовать работу киберспециалистов
Работу белых хакеров могут передать под контроль ФСБ. Это может коснуться всех специалистов, которые ищут уязвимости в программном коде. Законопроект уже собираются внести в Госдуму, пишет РБК со ссылкой на источники в госорганах. Так, белых хакеров обяжут идентифицировать себя, а профильные компании аккредитоваться. Их работу будут регулировать силовые ведомства, в том числе ФСБ. Вместе с этим авторы проекта хотят создать для белых хакеров отдельный реестр. Тем, кто не будет соответствовать требованиям, запретят работать. При этом если программисты обнаружат уязвимость, они должны будут сообщать о ней не только заказчику, но и силовикам. А за отказ это делать предлагается наказывать по уголовной статье.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
На таких условиях бизнес готов легализовать белых хакеров, особенно если информацией об уязвимости силовики будут делиться со всем рынком, допускает начальник отдела информационной безопасности SearchInform Алексей Дрозд: «В любом случае всем не угодишь, наверняка найдутся недовольные. Вопрос, насколько этот компромисс сейчас устроит все стороны. Если брать текущую интерпретацию, это все равно никак не легализует энтузиастов, которые не хотят где-то регистрироваться, а просто, что называется, из любви к искусству нашли какую-то уязвимость, отписали.
Я так понимаю, они все равно сейчас находятся под угрозой, и они ничем не будут отличаться от черных хакеров или серых. Но зато мы затрагиваем легитимный пентест, здесь уже, когда компания хочет развернуть баг-баунти и нанять, эта часть перейдет в правовое поле и выведет из-под удара тех, кто будет искать уязвимости.
Как бизнес отнесется к такой инициативе? Полярные мнения. Наверняка будут те, которым все равно, и будут те, которые опасаются. К чему эта дорожка выведет — сугубо личное мнение, а не корпоративное — некоторые компании, которые захотят пойти по второму пути будут искать юридические лазейки. То есть как организовать поиск уязвимостей, не называя это так. Ключевой момент, до поиска уязвимостей, баг-баунти и так далее надо дорасти. Это уже к компаниям, у которых есть большие объемы кода. Возможно, они будут заинтересованы в таком аналоге НКЦКИ, которая доказывает свою пользу.
Если у нас есть нечто отраслевое, которое способствует обмену знаниями и повышением защищенности, то есть грубо говоря, атакуют одну компанию из отрасли, она показывает индикаторы, пересылает и тут же эта рассылка уходит в автоматическом, допустим, режиме на всю отрасль, то всем от этого только лучше».
В будущем законопроект еще придется дорабатывать, поскольку у отрасли уже могут появиться претензии к деталям проекта, считает вице-президент Check Point Software Technologies в России, СНГ и Ближнем Востоке Василий Дягилев: «Инициатива должна пройти несколько раундов более детального обсуждения именно с представителями отрасли. Есть желание урегулировать эту сферу и обезопасить как белых хакеров, так и сами компании, которые достаточно активно используют эти услуги у себя. Но здесь главное не перегнуть.
Там есть несколько пунктов, которые вызывают определенные сомнения, в том числе о передаче уязвимостей непосредственно регуляторам, что и так собственно регулируется госпрограммой ГосСОПКА и всевозможными подзаконными актами. Инициатива неплоха, но как говорится, дьявол в деталях и будем очень надеяться, что эта инициатива пройдет, какие-то обсуждения, в том числе, с лидерами рынка.
Что именно в инициативе может не устроить отрасль? Каждая компания в принципе должна иметь возможность сама определять, какую часть информации она хочет разглашать, в том числе в отношении, например, своих систем. Обязательное обозначение уязвимостей может привести к тому, что и данные о них могут утечь. То есть белый хакер нашел уязвимость, например, на каком-нибудь госпортале и в момент, когда он передает эту информацию не только людям, которые отвечают за безопасность ресурса, а каким-то третьим лицам, будь то регулятор, дополнительное ведомство, которое занимается этим, то увеличивается вероятность утечки.
Надо просто более детально урегулировать и дать возможность компаниям действительно рапортовать о том, что произошло. Мы всегда приветствуем как представители индустрии, чтобы люди честно рассказывали, что происходит с их информационными системами. Но, чтобы они делали это уже возможно после того, как они это исправили, не в тот момент, когда уязвимости еще являются открытыми».
Легализовать белых хакеров в Госдуме предлагали в 2023-м, законопроект внесли несколько депутатов, а идею поддержали в комитете по информполитике. Против выступили Генпрокуратура, МВД и Следственный комитет. По мнению силовиков, это давало бы лазейку для хакеров-злоумышленников. Они могли бы предъявлять документы о заключении договора, чтобы доказывать свою невиновность. Позже законопроект отклонили. Как поясняли в Госдуме, документ не учитывал нормы о гостайне и безопасности.
С нами все ясно — Telegram-канал "Ъ FM".