В Минцифры выступили с инициативой законодательно закрепить понятие bug bounty, что позволит спокойно работать хакерам, которых специально нанимают для поиска уязвимостей информационных систем.
В отсутствие этого нюанса в законодательстве так называемые «белые хакеры» рискуют даже при позитивной работе попасть под уголовное преследование. Сейчас работу хакеров в любом случае можно истолковать, как неправомерный доступ к информации. Это правонарушение наказывается в соответствии со статьей 272 УК РФ.
С нововведением поиск багов в системах будет легализован, и специалисты смогут официально получать за это зарплату. Об этом пишет газета «Ведомости». В рамках предлагаемой идеи в России будет создан инструментарий, который включит в себя стандарты в оценке информационной защищенности коммерческих и государственных организаций.
В отсутствие в законе понятия bug bounty создает препятствия на пути к реализации данной задумки, констатировал бизнес-консультант по безопасности Алексей Лукацкий. Впрочем, он отметил, поиск уязвимостей – это всегда деятельность на грани законности. Введение ее в строгие законные рамки будет позитивным сигналом.
«Белые хакеры» никого не спасут
Председатель Совета Фонда развития цифровой экономики Герман Клименко в эфире радиостанции «Говорит Москва» позицию Минцифры раскритиковал. Он заподозрил ведомство в пиаре на острой теме утечек личных данных. Крупные компании в последнее время оказываются в центре скандалов с утечками. Об этом пишут СМИ, а депутаты Госдумы вплотную занялись вопросом ужесточения ответственности за утечки.
«Здесь, мне кажется, что автор хотел просто поговорить и попасть в СМИ. Других не вижу смыслов», - сказал Клименко, добавив, что разговоры о «белых хакерах» как бы уводят дискуссию на горячую тему в нейтральное русло. В информационное пространство вводится идея, будто хакеры на зарплатах всех спасут от утечек. Однако это не так. Единственно действенным инструментом является «повышение культуры внутри компаний».
В противном случае ситуация выглядит, как будто одна сторона заявляет о проблеме: «У нас крадут данные», - а государство отвечает в духе «Мы введем институт белых хакеров».
Клименко подчеркнул, что позиция Минцифры смотрелась бы куда более серьезно, если бы был поднят вопрос о дефиците процессоров. Любопытно во всей этой истории еще и то, что в США недавно федеральные органы объявили, что больше не будут гоняться за «белыми хакерами». Повторять инициативы за американскими коллегами – не лучшая стратегия. Особенно учитывая, что региональные органы в Штатах по-прежнему работают по заявлениям частных компаний, жалующихся на «белых хакеров», потому как объем случаев несанкционированного доступа во всем мире продолжает расти.
