Скоро ли “белые” хакеры выйдут из тени? Законопроект о bug bounty на подходе

Совет по развитию цифровой экономики при Совете Федерации обратился к Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации с просьбой ускорить подготовку законопроекта, который даст правовое основание для деятельности по поиску уязвимостей в программном обеспечении за вознаграждение и установит границы ответственности для специалистов по поиску уязвимостей, также известных как белые хакеры. Об этом ТАСС сообщил зампред Совета по цифровизации Артем Шейкин.

По словам зампреда, возглавляющего секцию по технологическому суверенитету и информационной безопасности РФ, идея о разработке законопроекта, который ввел бы понятие bug bounty (поиск уязвимостей в ПО за вознаграждение) в правовое поле публично обсуждается с лета 2022 года и его проработкой занимались в Минцифры. Законопроект предусматривает, в частности, изменения в статью 272 Уголовного кодекса (УК) РФ (неправомерный доступ к компьютерной информации).

“Движение законопроекта осложнилось из-за позиции ряда ведомств, так как грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая”, - пояснил Шейкин.

По его словам, существующее законодательство о компьютерных преступлениях устарело, и необходимо модернизировать подходы и методологию принятия решений. “В связи с этим, мы выдвинули предложение по определению нового вида деятельности по поиску уязвимостей в ПО за вознаграждение, а также предложение об определении границы ответственности специалистов по поиску уязвимостей на законных основаниях. А Минцифры мы рекомендовали возобновить работу по разработке законодательной инициативы, направленной на ввод в правовое поле деятельности по поиску уязвимостей в ПО за вознаграждение и определения границ ответственности специалистов по поиску уязвимостей”, - сказал Шейкин.

Он отметил, что цель законопроекта - легализовать и упростить деятельность “белых” хакеров, “так как это позволит активизировать тех исследователей, которые боятся каких-либо правовых последствий”. "В то же время, есть возможные положения законопроекта, которые могут помешать специалистам по поиску уязвимостей. Например, если в нем будут положения о создании какого-либо реестра “белых” хакеров, лицензировании физлиц, то это потребует от исследователей выйти из тени, к чему многие из них определенно не готовы", - добавил зампред Совета по цифровизации.

Он подчеркнул, что регламентация деятельности специалистов по поиску уязвимостей “поможет им чувствовать, что они защищены в правовом плане и повысит их заинтересованность” в работе по этому направлению.