Минцифры запланировало легализовать работу «белых хакеров» — «Ведомости» Статьи редакции
Чтобы им не грозил штраф или срок за неправомерный доступ к компьютерной информации.
- Минцифры хочет легализовать выплаты «белым хакерам» и для этого ввести в законодательство понятие bug bounty. Об этом «Ведомостям» рассказал источник в одной из российских компаний в области кибербезопасности и подтвердил собеседник в крупной международной компании на рынке информзащиты. В Минцифры отказались от комментариев.
- Сейчас понятие bug bounty в законодательстве никак не определено и поэтому может быть трактовано как «неправомерный доступ к компьютерной информации», то есть подпасть под действие ст. 272 УК, объясняет один из источников. В Positive Technologies подтвердили, что такого понятие в законе нет.
- Программы bug bounty, то есть награды за найденные уязвимости, есть у многих российских компаний. Сама Positive Technologies весной 2022 года запустила платформу The Standoff — аналог международной HackerOne. Сейчас на ней представлены программы от «Азбуки вкуса» и самой Positive Technologies, до конца года планируется подключить еще 10-20 партнёров. С юридической точки зрения у платформы есть только «положение о конкурсах».
- По словам бизнес-консультанта по безопасности Алексея Лукацкого, отсутствие понятия bug bounty в законодательстве создаёт проблему.
Достаточно вспомнить историю админа одного из операторов связи в Обнинске, который решил помочь клиентам и просканировал их сеть на уязвимости, за что его прихватили сотрудники ФСБ и сейчас судят по ст. 274.1 за неправомерное воздействие на КИИ России.
[Осуществление деятельности по поиску уязвимостей] — это всегда деятельность на грани. С одной стороны, исследователи действуют в рамках договора и злого умысла у них нет, но с другой — договор всё не описывает и своими действиями они могут причинить ущерб, что может повлечь последствия.
- В марте 2022 года Минцифры предложило ввести меры поддержки для «белых хакеров» за поиск уязвимостей в корпоративных системах безопасности.
Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.
проблема в правоприменении, опять сильно расплывчато будет и сажать начнут за все подряд. Вспоминаем для чего законы издаются? По итогу пока сидишь ровно закон действует одним образом, захотел уехать, тут же именно твой случай станет исключением. При этом по сути осуществляется выманивание из скрытой области. Если человек хорошо понимал что подобное лучше не афишировать, то после принятия подобного закона все кто публично расскажет о деятельности тут же может под надзор попасть. Может еще и принудительно заставят что-то делать. Способности же свои проафишировал. А отказаться по новым же законам можешь и не суметь. Особенно при релокации интересно как смотреть будут за теми кто заявил о себе.
Это как с самозанятыми сделали, типа вот вам возможность а на самом деле решили раскрыть тех кто не платит налоги
угу, а потом будешь доказывать что не верблюд и ничем подобным не занимаешься. Хотя реально это было, насколько я понимаю, еще и для того чтобы переложить ответственность на работника, и снять с организации. Никаких выплат помимо оплаты по договору. И как на пособие по безработице рассчитывать если могут сказать что ты же самозанятый. Да и в общей статистике те кто зарегистрировался самозанятым может в безработные не попадать. Даже если реально не работает.