Обсуждение законопроекта о легализации белых хакеров: регулирование ФСБ и возможные риски

В новой версии законопроекта о легализации белых хакеров предложили передать их регулирование ФСБ ФСТЭК и НКЦКИ Силовики могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей и запретить работу тем кто не будет соответствовать этим правилам Обсуждается также появление реестра белых хакеров Игроки рынка назвали текущие формулировки достаточно жесткими Особенно критичным считают создание реестра белых хакеров так как потеря анонимности может привести к невозможности въехать во многие страны преследованию вербовке иностранными спецслужбами рассекречиванию специального почерка исследователя и другим рискам Фото Андрей Любимов РБК Следить за новостями РБК в Telegram

Контроль за работой белых хакеров предложили передать ФСБ и ФСТЭК 23 октября РБК ФСБ сможет устанавливать требования для белых хакеров тем кто им не будет соответствовать запретят работать Найденными пробелами в инфозащите программисты должны будут делиться и с компанией и со спецслужбами Как рассказали РБК два источника в госорганах и отрасли информационной безопасности разработана новая версия законопроекта о легализации белых хакеров По словам одного из собеседников сейчас документ готовят для внесения в Госдуму Инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей Речь идет о специалистах которых компании привлекают к тестированию своих информсистем на уязвимости самостоятельно или через специализированные платформы bug bounty программа в рамках которой компании платят людям за обнаружение уязвимостей и багов В новой версии законопроекта вводится понятие мероприятие по поиску уязвимостей Как пояснили собеседники РБК оно может охватывать все формы поиска уязвимостей стирая существующее в отрасли разделение Согласно проекту под это определение могут попасть Регулирование всех мероприятий по поиску уязвимостей планируется полностью передать силовому блоку Федеральной службе безопасности ФСБ Федеральной службе по техническому и экспортному контролю ФСТЭК и Национальному координационному центру по компьютерным инцидентам НКЦКИ рассказали собеседники РБК Они могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей вне зависимости от того коммерческие это программы для внутреннего пользования или программы касающиеся критически важного бизнеса либо госструктур Речь идет об обязательной идентификации и верификации белых хакеров правилах аккредитации и деятельности организаций проводящих мероприятия по поиску уязвимостей правилах регулирующих обработку и защиту данных о найденных уязвимостях регламенте как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др

Белых хакеров под контроль ФСБ возьмёт кибербезопасность в свои руки Власти готовят новую версию законопроекта о легализации белых хакеров Документ находится на финальной стадии и скоро поступит в Госдуму Он вводит единое понятие мероприятие по поиску уязвимостей и охватывает все формы исследовательской работы от bug bounty до независимых тестов Регулировать сферу предлагается силам ФСБ ФСТЭК и НКЦКИ Эти ведомства смогут утверждать обязательные требования для всех участников включая аккредитованные площадки и специалистов а также контролировать передачу данных о найденных уязвимостях Предусмотрена обязательная идентификация и верификация белых хакеров новые правила аккредитации и возможный реестр специалистов За неправомерную передачу уязвимостей планируют ввести уголовную ответственность Минцифры заявила что проект находится в стадии обсуждения с отраслью белыеХакеры ФСБ кибербезопасность SecLabNews

В ходе пленарной сессии VI Кубанского форума по кибербезопасности проходящего сегодня в федеральной территории Сириус член комитета Госдумы по информационной политике Антон Немкин высказал уверенность что в обозримой перспективе удастся согласовать со всеми заинтересованными сторонами пакет законодательных актов легализуюших деятельность пен тестеров Предполагается привлекать на открытом рынке наиболее способных специалистов в области кибербезопасности для тестирования систем киберзащиты государственных и коммерческих информационных систем В качестве обоснования приводится довод что если не занять потенциальных участников деятельностью в качестве белых пен тестеров то им найдется чем занять себя по ту сторону закона Наиболее спорным моментом в настоящий момент обозначена способность гарантированного допуска к подрядам на рынке Penetration Testing именно как представителей белой практики пен теста и исключения в допуске к заказам черных хакеров Немкин считает что это препятствие вполне преодолимо уже в ближайшем будущем

Хакеров впишут в реестр Работу белых хакеров могут передать под контроль ФСБ Это может коснуться всех специалистов которые ищут уязвимости в программном коде Такой законопроект собираются внести в Госдуму пишет РБК со ссылкой на источники в госорганах Так белых хакеров обяжут идентифицировать себя а профильные компании аккредитоваться Их работу будут регулировать силовые ведомства в том числе ФСБ Вместе с этим авторы проекта хотят создать для белых хакеров отдельный реестр Тем кто не будет соответствовать требованиям запретят работать При этом если программисты обнаружат уязвимость они должны будут сообщать о ней не только заказчику но и силовикам А за отказ это делать предлагается наказывать по уголовной статье Василий Дягилев вице президент Check Point Software Technologies в России СНГ и на Ближнем Востоке Инициатива должна пройти несколько раундов более детального обсуждения именно с представителями отрасли С одной стороны есть желание урегулировать эту сферу и обезопасить как белых хакеров так и сами компании которые достаточно активно используют эти услуги у себя При этом есть несколько пунктов которые вызывают определенные сомнения в том числе о передаче уязвимостей непосредственно регуляторам Это и так регулируется госпрограммой ГосСОПКА и всевозможными подзаконными актами Каждая компания должна иметь возможность сама определять какую часть информации хочет разглашать в том числе в отношении своих систем Обязательное разглашение уязвимостей может привести к тому что и данные об этих уязвимостях могут утечь kfm936

Хакеров выводят в свет В новой версии законопроекта о легализации белых хакеров предложили передать их регулирование ФСБ Силовики могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей и запретить работу тем кто не будет соответствовать этим правилам Обсуждается также появление реестра белых хакеров Однако критики подобного реестра предупреждают что это может привести к потере анонимности что приведет к невозможности въехать во многие страны преследованию вербовке иностранными спецслужбами рассекречиванию специального почерка и другим рискам

Контроль за белыми хакерами могут передать силовому блоку По данным РБК контроль за работой белых хакеров могут передать ФСБ ФСТЭК и НКЦКИ Источники утверждают что инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей Речь идет о специалистах которых компании привлекают к тестированию своих информсистем на уязвимости самостоятельно или через специализированные платформы bug bounty программа в рамках которой компании платят людям за обнаружение уязвимостей и багов В новой версии законопроекта вводится понятие мероприятие по поиску уязвимостей Как пояснили собеседники РБК оно может охватывать все формы поиска уязвимостей стирая существующее в отрасли разделение Согласно проекту под это определение могут попасть коммерческие bug bounty программы где компании через специальные площадки платят независимым исследователям за находки работая по коммерческим договорам внутренние bug bounty self hosted программы в которых компания силами собственных сотрудников ищет уязвимости в своей инфраструктуре любые независимые исследования действия одиночных исследователей которые без приглашения проверяют программное обеспечение на уязвимости пентесты тестирование на проникновение которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании клиента и компании предоставляющей услуги исследователей Речь идет об обязательной идентификации и верификации белых хакеров правилах аккредитации и деятельности организаций проводящих мероприятия по поиску уязвимостей правилах регулирующих обработку и защиту данных о найденных уязвимостях регламенте как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др Russian OSINT

Силовые структуры могут начать регулировать деятельность белых хакеров Обновленный законопроект предполагает передачу функций контроля ФСБ ФСТЭК и НКЦКИ а также ужесточение ответственности за утечку и неправомерное использование уязвимостей Проект предусматривает также создание госреестра и обязательную идентификацию участников

Регулирование деятельности белых хакеров предложили передать ФСБ В новой версии законопроекта о легализации белых хакеров предлагается передать регулирование их деятельности силовым ведомствам ФСБ ФСТЭК и НКЦКИ Согласно инициативе эти органы получат право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей вне зависимости от того коммерческие это программы для внутреннего пользования или программы касающиеся критически важного бизнеса либо госструктур пишет РБК Списки операторов которые соответствуют этим требованиям будут публиковаться на сайтах силовых ведомств а работа вне аккредитованных площадок а также работа не соответствующих правилам компаний будет запрещена Также предлагается ввести обязанность для всех кто обнаружил уязвимость сообщать о ней не только владельцу программного обеспечения но и силовым ведомствам Подписаться VK и Telegram