Во втором пакете мер по борьбе с кибермошенниками, опубликованном Минцифры на этой неделе, обнаружили часть, которая предполагает наложить запрет на распространение «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации» или позволяющей получить доступ к соответствующему ПО. ИБ-компании опасаются, что это может серьезно осложнить работу специалистов.
Ранее на этой неделе Минцифры РФ подготовило второй пакет мер по борьбе с кибермошенниками. В него вошли около 20 инициатив, которые затронут финансовую и телекоммуникационную сферы.
В частности:
Персональные данные и Госуслуги
- На «Госуслугах» будет создана единая платформа согласий, где пользователи смогут увидеть все согласия на обработку персональных данных, которые они ранее давали онлайн и офлайн.
- Можно будет отозвать согласие на обработку и подать жалобу на оператора персональных данных.
- Восстановление доступа к аккаунту «Госуслуг» через биометрию, через приложение или сайт банка, МФЦ или национальный мессенджер Max.
Операторы связи
- Абоненты смогут запретить входящие звонки с зарубежных номеров, а остальные будут отмечаться специальным индикатором.
- Операторов хотят обязать передавать в систему ГИС «Антифрод» данные о номерах, которые могут использоваться мошенниками, и в случае подтверждения — блокировать номер на 24 часа.
- Также для операторов могут установить ответственность в случаях, если их бездействие приводит к краже денег со счета мобильной связи. В таком случае их обяжут возместить ущерб.
- Планируется создать «центральную базу идентификаторов пользовательского (оконечного) оборудования», то есть, в том числе, IMEI-номеров, в которую будут попадать данные о запрещенных к использованию устройствах. Ожидается, что Минцифры установит основания для подобных запретов и разработает критерии для внесения IMEI в список разрешенных или запрещенных, а решение по запрету будут принимать силовые органы. Для устройств с «запрещенным» IMEI будут недоступны услуги связи.
Банки и финансы
- Предлагается ограничить число банковских карт, которыми может владеть гражданин — не более 10 платежных карт на человека (5 карт от одного банка). Эта мера направлена на борьбу с дропперами.
- Равно как и операторов связи, банки хотят обязать компенсировать клиенту ущерб, если финансовая организация проигнорировала сообщения о возможном мошенничестве, полученные через государственную информационную систему противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, то есть ГИС «Антифрод».
- Также банки должны будут отслеживать возможное заражение своих сайтов и приложений малварью, а также блокировать подозрительные переводы при выявлении таких угроз.
Интернет и IT
- Роскомнадзор предлагается наделить полномочиями для внесудебной блокировки фишинговых и вредоносных сайтов, а также ресурсов, где предлагается приобрести «несертифицированные средства связи».
- Хостинг-провайдеры, соцсети, организаторы сервисов обмена мгновенными сообщениями и сервисы объявлений будут обязаны выявлять и передавать в ГИС «Антифрод» сведения о признаках противоправных действий с использованием информационных и коммуникационных технологий.
- VoIP-сервисы и виртуальные АТС будут обязаны использовать доменные имена и сетевые адреса, соответствующие российской системе, и быть зарегистрированы в соответствующих реестрах.
Также, как ранее уже сообщалось в июне 2025 года, в Уголовный кодекс РФ вводятся новые составы преступлений, связанные с незаконным использованием идентификаторов оборудования, их подделкой и применением для сокрытия личности. Отягчающим обстоятельством признается использование анонимизирующих технологий.
Появится новая статья 272.2 — «злостное воздействие на информационную систему, информационно-телекоммуникационную сеть, компьютерную информацию или сеть электросвязи». Она определяет ответственность за DDoS-атаки, максимальное наказание за которые составит до восьми лет лишения свободы или штраф в размере до 2 млн рублей.
Как теперь обратили внимание СМИ, одна из мер также предполагает внесение поправок в Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Одна из этих поправок предлагает наложить запрет на распространение «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин, либо позволяющая получить доступ к программам для электронных вычислительных машин, предназначенным для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин», наравне с экстремистским контентом.
ИБ-компании видят в этих поправках угрозу прямого ограничения деятельности white hat специалистов и багхантеров.
Дело в том, что под это определение подпадает практически любой контент, связанный с описанием уязвимостей, PoC, эксплоитов и так далее, даже если это материалы, созданные в образовательных или научных целях. Никаких исключений законопроект не предусматривает.
Платформы вроде HackTheBox и аналогичные CTF-ресурсы, где сценарии эмулируют реальные атаки, также могут быть формально приравнены к ресурсам, распространяющим «информацию, предназначенную для несанкционированного уничтожения, блокирования, модификации, копирования информации».
«Запретить специалистам доступ к такой информации — все равно что запретить токсикологам доступ к описанию поражающих факторов отравляющих веществ», — сообщил «Коммерсанту» управляющий директор по работе с госорганами Positive Technologies Игорь Алексеев.
«Работа «белых хакеров» и раньше балансировала на тонкой грани, — отметил в беседе с изданием директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко, — но существовало негласное понимание: если работаешь в рамках bug bounty или по договору, проблем не будет».
«Указанная формулировка вновь создает неопределенность для работы «белых хакеров»», — согласен бизнес-консультант Positive Technologies Алексей Лукацкий.
Юристы также усмотрели в поправках риски для отрасли.
«Bug bounty находится в группе риска, эта сфера сейчас имеет большой потенциал развития, и такой законодательный аспект точно не в ее пользу»,— отметила гендиректор ЮК Enterprise Legal Solutions Анна Барабаш. По ее словам, государство, с одной стороны, признает потребность в ИБ-специалистах и в введении соответствующих определений в законы, исключающих двойное толкование, но предлагаемые меры могут породить правовую неопределенность.
Однако представители Минцифры пояснили «Коммерсанту», что бесконтрольное распространение информации об атаках «несет риски кибербезопасности, может быть использовано для компьютерных атак на важные системы государства и бизнеса». И ограничением такой информации в целом занимаются Роскомнадзор и Генпрокуратура.
Также Минцифры заявили, что «запрет направлен не на деятельность «белых хакеров», а именно на распространение информации о способах кибератак».
В аппарате вице-премьера Дмитрия Григоренко полагают, что инициатива создаст правовой барьер, затруднит деятельность киберпреступников и снизит количество успешных атак. Также она якобы позволит правоохранителям эффективно блокировать каналы распространения вредоносных программ, снижая риски для граждан.
Обновлено: Редакция популярного отраслевого издания «Хакер» призвала читателей, поддерживающих точку зрения экспертов, комментировать законопроект: https://regulation.gov.ru/projects/159652
Дмитрий Агарунов, основатель «Хакера»:
«Любой запрет на публикации и обмен научно-технической информацией является фактическим запретом на обучение. ИБ-специалистам просто негде будет приобретать знания. С учетом того, что новая информация поступает ежесекундно, такая поправка может парализовать кибербезопасность страны.
Кроме того, данная мера бьет исключительно по своим: запретить можно только легальным, зарегистрированным, официальным ресурсам. Публикации на иностранных сайтах, в чатах, каналах, целенаправленную рассылку враждебных приказов и инструкций такая поправка запретить не может. Специалисты врагов спокойно продолжат обучение».
С заботой о вашей безопасности, команда Origin Security
