Минцифры запланировало легализовать работу «белых хакеров» — «Ведомости»

Чтобы им не грозил штраф или срок за неправомерный доступ к компьютерной информации.

Минцифры хочет легализовать выплаты «белым хакерам» и для этого ввести в законодательство понятие bug bounty. Об этом «Ведомостям» рассказал источник в одной из российских компаний в области кибербезопасности и подтвердил собеседник в крупной международной компании на рынке информзащиты. В Минцифры отказались от комментариев.
Сейчас понятие bug bounty в законодательстве никак не определено и поэтому может быть трактовано как «неправомерный доступ к компьютерной информации», то есть подпасть под действие ст. 272 УК, объясняет один из источников. В Positive Technologies подтвердили, что такого понятие в законе нет.
Программы bug bounty, то есть награды за найденные уязвимости, есть у многих российских компаний. Сама Positive Technologies весной 2022 года запустила платформу The Standoff — аналог международной HackerOne. Сейчас на ней представлены программы от «Азбуки вкуса» и самой Positive Technologies, до конца года планируется подключить еще 10-20 партнёров. С юридической точки зрения у платформы есть только «положение о конкурсах».
По словам бизнес-консультанта по безопасности Алексея Лукацкого, отсутствие понятия bug bounty в законодательстве создаёт проблему.

Достаточно вспомнить историю админа одного из операторов связи в Обнинске, который решил помочь клиентам и просканировал их сеть на уязвимости, за что его прихватили сотрудники ФСБ и сейчас судят по ст. 274.1 за неправомерное воздействие на КИИ России.
[Осуществление деятельности по поиску уязвимостей] — это всегда деятельность на грани. С одной стороны, исследователи действуют в рамках договора и злого умысла у них нет, но с другой — договор всё не описывает и своими действиями они могут причинить ущерб, что может повлечь последствия.
Алексей Лукацкий