ФСБ предложили контролировать «белых» хакеров и исследователей уязвимостей

ФСБ сможет устанавливать обязательные требования к «белым» хакерам и организациям, проводящим поиск уязвимостей. Об этом сообщают в госорганах и отрасли ИБ. По их данным, подготовлена новая версия законопроекта о легализации «белых» хакеров, документ готовят к внесению в Госдуму.

Инициатива вводит единое госрегулирование всех «мероприятий по поиску уязвимостей» и передает надзор силовым структурам: ФСБ, ФСТЭК и НКЦКИ. Под регулирование попадут коммерческие и внутренние bug bounty, независимые исследования без приглашения и пентесты по договорам. Ведомства смогут утвердить правила идентификации и верификации исследователей, аккредитации операторов, обработки и защиты данных об уязвимостях, а также регламент передачи информации владельцам ресурсов и государству.

Планируется публикация реестров аккредитованных операторов на сайтах ведомств. Работа вне аккредитированных площадок и несоответствие требованиям будет запрещено. Предусмотрена обязанность сообщать о найденных уязвимостях не только правообладателю, но и силовым органам. В ст. 274 УК РФ предлагается закрепить ответственность за «неправомерную передачу уязвимостей».

В Минцифры подтвердили диалог с отраслью и Госдумой, отметив, что предложения о реестре «белых» хакеров к ним не поступали. Проект может корректироваться до принятия. Ранее попытки легализации обсуждались с 2022 года. Часть силовых ведомств выступала против смягчения уголовных норм.

Участники рынка указывают на риски деанонимизации исследователей и возможные утечки реестров. Эксперты опасаются ухода специалистов в «серую зону», снижения участия в bug bounty и нежелания компаний делиться уязвимостями с госорганами. Отмечается, что документ в текущем виде «жесткий» и затрагивает не только публичные платформы, но и внутренние проверки ИБ.

Обратите внимание: Метод из 1980‑х, который работает и сейчас: утепляю окна за вечер — без пены и ремонта