Рынок кибербезопасности ждет регулирования "белых хакеров"
Госдума не поддержала предложенную версию законопроекта о легализации "белых хакеров" - специалистов, которые по заданию компаний ищут уязвимости в системах безопасности. Он не учитывает особенности защиты государственных данных и может нарушить положения о гостайне. Эксперты указывают, что принятие соответствующих норм усилит сферу кибербезопасности в стране.
К "белым", или "этичным", хакерам относятся специалисты, проводящие пентесты - имитацию атак с использованием реальных инструментов хакеров. Они помогают клиентам выявлять уязвимости, оценивать и налаживать процессы информационной безопасности.
Отклоненный законопроект должен был регулировать их работу, в том числе в сфере поиска уязвимостей на государственных и корпоративных сервисах.
"Мы исходим из необходимости комплексного подхода к законодательному регулированию деятельности специалистов, выявляющих уязвимости в информационных системах. В этой связи предполагается повторное внесение инициативы в составе пакета законопроектов, касающихся правового статуса и правил деятельности пентестеров. Обсуждение соответствующих положений мы ведем совместно с заинтересованными органами государственной власти и экспертным сообществом", - рассказал депутат Госдумы Антон Немкин.
Александр Соколов, директор сервисного блока компании F6, указывает, что изначально законопроект вызывал вопросы в профессиональном сообществе. И хотя интерес к "легализации белых хакеров" со стороны органов власти может принести пользу в будущем, стоит понимать, что на проработку таких инициатив требуется взаимодействие с профильным сообществом и время.
Например, ранее профессиональное сообщество называло риски неконтролируемой активности со стороны легализованных "белых хакеров". По их мнению, это может привести к отказу в обслуживании систем, передаче полученной информации об уязвимостях третьим лицам и другим нежелательным последствиям.
Риски сведены к минимуму, когда заказчик инициирует проведение работ с использованием NDA, договора и работает с известной компанией, имеющей лицензию ФСТЭК.
"Мы ожидаем, что работа над инициативами, которые призваны повысить эффективность работы "белых хакеров", будет продолжена, но рекомендовали бы тщательно проработать формулировки и учитывать все необходимые условия и ограничения", - отмечает эксперт.
Во многих странах подобная деятельность регулируется и поддерживается на государственном уровне, в том числе через программы bug bounty, которые дают вознаграждения исследователям безопасности за найденные уязвимости. В России профессиональное сообщество и рынок "белого хакерства" высоко развиты и продолжают расти. В стране функционируют крупные компании и корпорации, у которых значительная часть дохода относится к подобным услугам.
"Заказчиками подобного рода услуг "белых хакеров" являются не только частные компании, но и государственные структуры. Например, Минцифры. В результате отклонения закона, правовой "вакуум" оставляет экспертов и ИБ-компании в зоне неопределенности, где даже добросовестные действия могут быть интерпретированы как незаконные, требуя серьезной трансформации бизнес-процессов и приводя к локальному упадку сферы", - указывает научный сотрудник, специалист по информационной и кибербезопасности, организатор студенческого CTF-движения Университета ИТМО Николай Еритенко.
Он добавляет, что опасения законодателей, как правило, связаны с рисками злоупотреблений, недостаточным уровнем контроля и возможными трудностями в разграничении добрых намерений и криминальной активности. Но именно отсутствие прозрачных правил и процедур создает серую зону, в которой законопослушные специалисты оказываются уязвимыми, а злоумышленники - неуловимыми.
"Привлечение исследователей безопасности к анализу устойчивости предприятий доказало свою эффективность. Для того чтобы процесс стал максимально прозрачным как для самих привлекаемых специалистов, так и для потенциальных заказчиков, необходимо определить правила игры - принять соответствующие нормы и установить регламенты", - заключает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.