На заседании во вторник, 8 июля, Госдума отклонила законопроект, который должен был легализовать в России деятельность «белых» хакеров. Решение было принято после соответствующей рекомендации профильного комитета Госдумы по государственному строительству и законодательству.
Речь идет о специалистах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации их деятельности в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в софте за вознаграждение.
Комитет посчитал, что законопроект, внесенный группой депутатов в 2023 году, не учитывает особенности информационного обеспечения работы госорганов. Эта работа регулируется законодательством о гостайне, об информации, а также о безопасности критической информационной инфраструктуры (к ней относятся сети связи и информационные системы госорганов, транспортных, энергетических, финансовых и ряда др. компаний).
Еще одной причиной отказа стало отсутствие необходимых изменений в других законах. Как указало в своем отзыве на проект правительство, для легализации пентестеров нужно комплексно менять законодательство, в том числе уголовное право. Эти изменения должны определить правила поиска уязвимостей и снизить связанные с этим риски, но такие поправки до сих пор не внесены, указано в отзыве комитета Госдумы по госстроительству. Законопроект также подразумевал, что о найденных уязвимостях можно будет сообщать разработчикам программ — правообладателям. Согласно отзыву, если такой правообладатель находится в недружественной юрисдикции, передача информации об уязвимостях может угрожать нацбезопасности России.
Минцифры считает целесообразным вносить комплексные изменения по легализации «белых» хакеров, сказал РБК представитель министерства. По его словам, сейчас они вместе с заинтересованными госорганами обсуждают инициативы по определению требований и правил при проведении мероприятий по поиску уязвимостей, а также законодательную ответственность в случае их нарушения.
Один из авторов отклоненного проекта, член IT-комитета Госдумы Антон Немкин, заявил, что они планируют повторно внести инициативу в составе пакета законопроектов, касающихся правового статуса и правил деятельности пентестеров. По его словам, сейчас «белым» хакерам приходится получать множество разрешений от правообладателей, чтобы избежать претензий по авторскому праву и риска компенсационных исков.
Ранее, в марте 2025 года, сенатор Артем Шейкин предлагал ввести две формы багбаунти: закрытую — с ограниченным числом участников, и открытую — с неограниченным. Он также выступал за то, чтобы владельцы информационных систем, включая критическую инфраструктуру, размещали формы обратной связи для сообщений об уязвимостях. В качестве средства идентификации специалистов предлагалось использовать систему ЕСИА.
Законно продолжать поиск уязвимостей после того, как законопроект отклонили, возможно, но с большими оговорками, считает эксперт группы практического анализа защищенности «Инфосистемы Джет» Дмитрий Курамин. По его мнению, преимущество здесь на стороне компаний, которые профессионально занимаются информационной безопасностью, так как у них есть и опытные исследователи, и юристы, способные корректно трактовать лицензионные соглашения исследуемого софта. Курамин подчеркнул, что каждое исследование — это потенциальный риск, и без четкого правового регулирования сложно гарантировать безопасность и легитимность.
Важно формализовать процессы: начиная от допуска к объектам критической инфраструктуры и правилам отчетности, заканчивая ответственностью сторон, считает менеджер по продуктам MD Audit (входит в ГК Softline) Кирилл Лёвкин. Он отметил, что работа пентестеров уже доказала свою эффективность: многие крупные компании регулярно получают отчеты об уязвимостях в продуктах и инфраструктуре, которые были найдены вне формальных проверок, что помогает предотвратить реальные атаки. В то же время сегодня «белые» хакеры фактически работают в правовом вакууме, подчеркнул Лёвкин. По его словам, чтобы сделать их труд безопасным и полезным для всех сторон, нужно создать механизм признания добросовестного поиска уязвимостей, защиту от необоснованного преследования и систему легальных каналов передачи информации, в том числе при работе с зарубежными вендорами.
С заботой о вашей безопасности, команда Origin Security
