"Белым хакерам" пропишут права в законодательстве

11 апреля. FINMARKET.RU - Допустимые действия независимых IT-экспертов, известных как "белые хакеры", хотят прописать в законодательстве. Но меры по легализации не должны снизить порог нетерпимости к утечкам персональных данных, считают специалисты. Проблемы регулирования сектора кибербезопасности обсудили за круглым столом в "Российской газете" представители Госдумы, Минцифры, правоохранительных органов и участников рынка.

Работа "белых хакеров", или "багхантеров", особенно актуальна сейчас, когда нужно защищать ключевые государственные системы и сервисы от беспрецедентных внешних атак - в 2023 году их количество выросло на 65% по сравнению с предыдущим годом. По словам главы ИАА Telecom Daily Дениса Кускова, рынок таких услуг можно разделить на три группы: пентесты - испытание систем на проникновение извне, управление уязвимостями и так называемые Red Team, объединяющие пентесты и управление уязвимостями. Существуют и так называемые "баг баунти", когда к тестированию привлекается неограниченный круг лиц.

В 2023 году рынок пентестов в России оценили в 3 млрд руб., как ожидается, в ближайшие четыре года он удвоится. Сегодня свои программы по "баг баунти" есть у "Яндекса", OZON, VK, "Тинькофф". В прошлом году к движению за этичный хакинг присоединились государственные ведомства. На первом этапе программы, инициированной Минцифры, участники проверяли "Госуслуги" и ЕСИА. В итоге удалось найти 37 уязвимостей.

В Госдуму уже внесен законопроект, регулирующий возможность проведения тестирования защищенности систем без нарушения авторских прав их создателей, разработчиков компонентов таких систем и их владельцев. Об этом рассказал автор законопроекта, депутат Госдумы, член Комитета по информационной политике, информационным технологиям и связи Антон Немкин.

По словам Немкина, сейчас к внесению готов второй законопроект. В его рамках предлагается закрепить возможность оператора информационной системы на условиях, определяемых им, проводить мероприятия по выявлению уязвимостей информационной системы, в том числе с привлечением специалистов, которые не являются его сотрудниками.