Минцифры запланировало легализовать работу «белых хакеров» — «Ведомости»

Чтобы им не грозил штраф или срок за неправомерный доступ к компьютерной информации.

  • Минцифры хочет легализовать выплаты «белым хакерам» и для этого ввести в законодательство понятие bug bounty. Об этом «Ведомостям» рассказал источник в одной из российских компаний в области кибербезопасности и подтвердил собеседник в крупной международной компании на рынке информзащиты. В Минцифры отказались от комментариев.
  • Сейчас понятие bug bounty в законодательстве никак не определено и поэтому может быть трактовано как «неправомерный доступ к компьютерной информации», то есть подпасть под действие ст. 272 УК, объясняет один из источников. В Positive Technologies подтвердили, что такого понятие в законе нет.
  • Программы bug bounty, то есть награды за найденные уязвимости, есть у многих российских компаний. Сама Positive Technologies весной 2022 года запустила платформу The Standoff — аналог международной HackerOne. Сейчас на ней представлены программы от «Азбуки вкуса» и самой Positive Technologies, до конца года планируется подключить еще 10-20 партнёров. С юридической точки зрения у платформы есть только «положение о конкурсах».
  • По словам бизнес-консультанта по безопасности Алексея Лукацкого, отсутствие понятия bug bounty в законодательстве создаёт проблему.

Достаточно вспомнить историю админа одного из операторов связи в Обнинске, который решил помочь клиентам и просканировал их сеть на уязвимости, за что его прихватили сотрудники ФСБ и сейчас судят по ст. 274.1 за неправомерное воздействие на КИИ России.

[Осуществление деятельности по поиску уязвимостей] — это всегда деятельность на грани. С одной стороны, исследователи действуют в рамках договора и злого умысла у них нет, но с другой — договор всё не описывает и своими действиями они могут причинить ущерб, что может повлечь последствия.

Алексей Лукацкий
  • В марте 2022 года Минцифры предложило ввести меры поддержки для «белых хакеров» за поиск уязвимостей в корпоративных системах безопасности.
3434
82 комментария

"ввести в законодательство понятие bug bounty"

Во-первых, это непатриотично. В законодательстве не должно быть мерзкой вражеской латиницы.

Во-вторых, нужно срочно придумать скрепный кириллический аналог.

28
Ответить

Награда за поимку насекомых

46
Ответить

Федеральная целевая программа "НАГРАЖУК"

39
Ответить

Жучья награда

21
Ответить

Дыровоздаяние (премия за поиск дыр)

9
Ответить

Комментарий недоступен

4
Ответить

Мзда за познавание угроз

4
Ответить