12 декабря 2023 года в Госдуму был внесён на рассмотрение законопроект № 509708-8 «О внесении изменений в статью 1280 части четвёртой ГК РФ», предполагающий легализацию в РФ деятельности белых хакеров.
Обновлённый законопроект предполагает, что экспертам по ИБ можно будет проводить исследования программ для ЭВМ. При обнаружении уязвимостей в системе безопасности программ для ЭВМ белые хакеры должны будут сообщить об этом правообладателю в течение пяти рабочих дней.
Согласно разработанным изменениям, проект предполагает: «проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов», — отмечают авторы инициативы — ряд депутатов во главе с членом комитета Госдумы по информполитике Антоном Немкиным.
Ранее директор по продуктовому развитию «Солар секьюрити» Владимир Бенгин рассказал СМИ, что более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Если поправки будут внесены, и "белые" хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.
В конце ноября 2023 года Генпрокуратура, МВД и Следственный комитет (СК) в рамках совещания в Госдуме, которое было посвящено поправкам в Уголовный кодекс (УК), выступили против легализации деятельности «белых» хакеров в РФ. Ведомства обсуждали внесение поправок в УК, которые выводят из-под его действия создание и использование вредоносного софта «белыми» хакерами по заданию заказчика.
Источники СМИ раскрыли текущую версию поправок. Изменения предполагается внести в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. В рамках корректировок законодательства предлагается:
разрешить создание и использование вредоносного софта «белыми» хакерами по заданию заказчика;
позволить «белым» хакерам изучать и тестировать программное обеспечение (ПО) для выявления уязвимостей и их исправления;
обязать «белых» хакеров сообщать о выявленных «дырах» в ПО правообладателю софта;
дать возможность обладателям информации и операторам информационных систем привлекать сторонних специалистов для выявления уязвимостей;
предоставить правительству право установить требования к выявлению уязвимостей, сейчас их определяет заказчик поиска уязвимостей.
В июне этого года Минцифры предложило всем желающим записаться на бесплатный учебный онлайн-курс «Профессия — белый хакер». Ведомство пояснило, что белые хакеры — это специалисты по IT-безопасности, которые стоят на защите интересов государства и бизнеса, а также участвуют в пентестах и Bug Bounty и получают за найденные уязвимости денежное вознаграждение на специальных площадках, например BI. ZОNE Bug Bounty и Standoff 365.
В конце марта 2023 года СМИ сообщили, что законопроект Минцифры о легализации работы белых хакеров отложен на неопределённое время из-за позиции ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Ведомства не собираются менять УК, смягчать или отменять наказание для злоумышленников за взлом информационных систем. В июле прошлого года Минцифры сообщило, что ведомство собирается ввести в законодательство понятие bug bounty и легализовать работу белых хакеров. Минцифры разрабатывает законопроект, по которому компьютерные эксперты могут получать вознаграждение за обнаруженные уязвимости, а не попадать под штрафы и ограничение свободы по статье 272 УК РФ («неправомерный доступ к компьютерной информации»).
Эксперты отрасли пояснили СМИ, что юридическое определение в правовом поле действий пентестов, которые проводят анализ систем на наличие уязвимостей, а также программ выплат вознаграждения хакерам за обнаружение уязвимостей по аналогии с зарубежными bug bounty позволит легализовать действия белых хакеров и даст возможность им использовать и дорабатывать специальные программные инструменты в рамках усиления механизмов кибербезопасности. Представители рынка считают, что сейчас многим компаниям проще обратиться в полицию и завести на хакера уголовное дело, а не платить ему за обнаруженные проблемы.
Законопроект от Минцифры не прошёл проверку в ФСБ и ФСТЭК. Ведомства считают, что принятие законопроекта в существующем виде приведёт к либерализации положений УК, что противоречит позиции госструктур по этой ситуации.
«Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая. А менять УК никто не будет», – пояснили СМИ профильные эксперты.
Представители ИБ-отрасли подтвердили, что сейчас действия пентестеров уязвимы с точки зрения уголовной ответственности, так как их могут квалифицировать как неправомерный доступ к информации (до семи лет колонии) или как создание, использование и распространение вредоносных компьютерных программ (также до семи лет тюремного заключения).
По мнению профильных юристов, сейчас в УК РФ есть целый ряд статей, под которые может подпадать деятельность белых хакеров. В их числе «неправомерный доступ к компьютерной информации», «создание, использование и распространение вредоносных компьютерных программ», «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации». По из словам, чтобы легализовать белых хакеров, Минцифры придётся вносить изменения в несколько статей УК и прописывать там, что действия хакеров не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции. "Но формально это всё равно будет преступное деяние, и в случае спорных ситуаций правоохранительные органы будут давать оценку, является конкретное действие социально значимым или нет", - считает вице-президент Гильдии российских адвокатов Евгений Корчаго.
Юристы уточнили СМИ, что законопроект Минцифры может внести дестабилизацию в правоприменительную практику в отношении киберпреступлений. «Преступники начнут оправдывать свои действия предлагаемыми нормами, а общество получит ситуацию неконтролируемого развития несанкционированного доступа к информации и её оборота. А самим белым хакерам придётся работать в условии высочайших рисков привлечения к уголовной ответственности, например в случае получения доступа к информации», – рассказал СМИ профильный юрист.
В конце марта 2022 года Минцифры в рамках оперативного штаба по обеспечению информационной безопасности предложило крупным российским компаниям начать поддержку белых хакеров.
В августе 2021 года ФСБ возбудила уголовное дело о попытке взлома сетевым инженером структуры «Ростеха». Бывший сотрудник техподдержки интернет-провайдера «Макснет Системы» подозревался спецслужбами во взломе компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Сетевой специалист рассказал, что он не занимался взломом, а наоборот пытался пресечь атаку извне на ресурсы клиентов, проверяя их роутеры на наличие уязвимостей. За то, что он не получил разрешения у клиента провайдера на сканирование его сетевого оборудования, инженеру грозит лишение свободы на срок от двух до пяти лет со штрафом в размере до 1 млн рублей.
