Законопроект о «белых хакерах» могут отложить из-за возражений ФСБ — «Ведомости» Статьи редакции
Ведомство против внесения изменений в статью УК, в которой говорится о наказании за неправомерный доступ к информации.
- Принятие законопроекта затягивают ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК), пишут «Ведомости» со ссылкой на источники, знакомые с ходом обсуждений.
- Минцифры пытается легализовать выплаты «белым хакерам» и ввести в законодательство понятие bug bounty с лета 2022 года. В законопроекте, в частности, идёт речь о внесении изменений в ст. 272 УК — о неправомерном доступе к компьютерной информации. Максимальное наказание по ней — семь лет лишения свободы.
- Один из источников «Ведомостей» говорит, что ФСБ и ФСТЭК выступают против либерализации положений УК и высказывали соответствующую позицию как минимум на одном совещании рабочей группы по законопроекту. Издание направило запросы в оба ведомства, в Минцифры от комментариев отказались.
- Другой источник указывает, что позицию ФСБ и ФСТЭК выражали их сотрудники на рабочих совещаниях по законопроекту в Минцифры. Как утверждает один из собеседников, грань между уголовно наказуемыми действиями и легальными «очень зыбкая», а «менять УК никто не будет».
- Сейчас понятие bug bounty в законодательстве никак не определено. При этом награды «белым хакерам» за найденные уязвимости есть у многих российских компаний, а размещают их на трёх платформах — Positive Technologies, «Синклит» и Bi.Zone.
- Опрошенные «Ведомостями» эксперты считают, что проблемы уязвимости для «белых хакеров» не существует — статья УК говорит о «неправомерном доступе», а программы bug bounty предполагают, что компания добровольно даёт доступ для поиска уязвимостей.
16K
показов
5.5K
открытий
1
репост
Комментарий недоступен
Чем она им невыгодна? Объявляешь что кто найдет уязвимости - получит бабки, регистрируешь желающих (чтобы левые под видом тестов не хуярили все подряд), победители получают деньги. Привлечь участников нельзя, так как конкурс объявлен самой компанией.
То после ввода программы багбаунти, этим смогут занимать и другие компании, не отчисляющие фсб за лицензию, или вообще фрилансеры.Ну а сейчас как такие мероприятия происходят? Так и участвуют кто хочет ведь?
Комментарий недоступен
1. Какое конкретно отношение лицензия ФСТЭК имеет к рассматриваемому вопросу? Зачем она для поиска уязвимостей в коммерческих компаниях без гос.участия и гос.тайн?
2. "Сколько стоит" - вы про официальное получение или всякие консалтинговые помойки?
Комментарий недоступен
Вы снова о своем, вообще пропустив конкретные вопросы. Приведите конкретные цитаты касаемо лицензий ФСТЭК, где сказано, что чтобы искать уязвимости в ПО коммерческих компаний человек обязан иметь эту самую лицензию, а без лицензии это будет незаконным.
Или "супер айти гений" с нормативной базой не дружит?
Комментарий недоступен
Ну почитайте хоть что присылаете. И на что именно выдана им лицензия - вопросы должны отпасть. Не разберетесь - завтра могу подробней написать, но там все очевидно.
Комментарий недоступен
Ни одного ответа по существу. Что за поколение "смотрю в книгу - вижу фигу".