Нашел уязвимость — сообщи в ФСБ. Иначе — уголовное дело

белые хакеры уязвимости ФСБ bug bounty кибербезопасность законопроект Россия
Нашел уязвимость — сообщи в ФСБ. Иначе — уголовное дело
белые хакеры уязвимости ФСБ bug bounty кибербезопасность законопроект Россия

Как закон о «белых» хакерах может превратить их в преступников.

image

В России готовят новую версию законопроекта о легализации «белых» хакеров. Как рассказали РБК два источника в госорганах и отрасли информационной безопасности, документ уже прошёл основную стадию согласований и готовится к внесению в Госдуму.

Инициатива предусматривает создание единой системы государственного регулирования всех видов исследовательской деятельности, связанной с поиском уязвимостей. Под действие проекта подпадут специалисты, которых компании привлекают для тестирования своих информационных систем — как напрямую, так и через платформы bug bounty, где вознаграждение выплачивается за найденные ошибки и уязвимости.

В новой редакции законопроекта вводится понятие «мероприятие по поиску уязвимостей». Как пояснили собеседники РБК, оно «может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение». Под ним подразумеваются как коммерческие bug bounty-программы, проводимые через специализированные площадки, так и внутренние проверки, когда уязвимости ищут сотрудники компании. К этой категории также отнесены независимые исследования, когда специалисты самостоятельно тестируют программное обеспечение, и пентесты, проводимые по официальным договорам между организациями.

Регулирование всех подобных мероприятий предлагается передать силовым структурам — ФСБ, ФСТЭК и Национальному координационному центру по компьютерным инцидентам. Они могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей вне зависимости от того, коммерческие это программы, для внутреннего пользования или программы, касающиеся критически важного бизнеса либо госструктур. Речь идет об обязательной идентификации и верификации «белых» хакеров; правилах аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей; правилах, регулирующих обработку и защиту данных о найденных уязвимостях; регламенте, как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др.

Планируется, что списки аккредитованных операторов будут публиковаться на официальных сайтах силовых ведомств. Проведение мероприятий вне аккредитированных площадок или с нарушением установленных правил будет запрещено. Кроме того, предполагается, что все лица, обнаружившие уязвимость, должны будут сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам.

В проекте предусмотрены изменения в статью 274 Уголовного кодекса РФ, по которой «неправомерная передача уязвимостей», то есть передача информации с нарушением установленных правил, будет квалифицироваться как преступление.

По данным источников, обсуждается также возможность создания государственного реестра «белых» хакеров.

В Минцифры подтвердили, что ведомство участвует в доработке инициативы. Представитель министерства сообщил, что «министерство находится в диалоге с отраслью и коллегами из Госдумы по данному законопроекту» и отметил, что предложений о создании реестра пока не поступало. Он добавил, что проект направлен на легализацию деятельности «белых» хакеров, чтобы исключить возможные негативные последствия при осуществлении ими своей работы. До принятия и подписания закона президентом документ может меняться с учётом предложений отрасли и заинтересованных ведомств.

Обсуждение легализации «белых» хакеров продолжается с 2022 года, когда Минцифры начала прорабатывать возможность введения в законодательство понятия bug bounty. В феврале 2023 года депутат Александр Хинштейн заявил, что специалисты, действующие в интересах России, должны быть освобождены от ответственности. Однако уже весной стало известно, что против инициативы выступили ФСБ и ФСТЭК, а позже — Генпрокуратура, МВД и Следственный комитет. Силовые ведомства предупредили, что новые нормы могут осложнить расследование преступлений, поскольку злоумышленники смогут прикрываться договорами о тестировании.

В декабре 2023 года в Госдуму внесли законопроект, разрешающий «белым» хакерам бесплатно искать уязвимости в программном обеспечении без согласия правообладателя, при условии уведомления его о найденных проблемах. Документ приняли в первом чтении в октябре 2024 года, но летом 2025-го он был отклонён. В пояснении отмечалось, что проект не учитывает особенности защиты государственных информационных систем.

Эксперты, опрошенные РБК, называют новую версию инициативы более жёсткой и указывают на риски обязательной деанонимизации специалистов. По их словам, создание реестра «белых» хакеров и передача данных в силовые структуры может привести к утечкам, угрозам безопасности исследователей и оттоку участников из bug bounty-программ. Некоторые специалисты предупреждают, что компании и независимые исследователи, опасаясь последствий, могут уйти в «серую» зону и проводить тесты неофициально.