Министерство цифрового развития России собирается ввести в законодательство понятие bug bounty, чтобы легализовать выплаты «белым» хакерам. Об этом пишут «Ведомости» со ссылкой на источник на рынке разработки инструментов кибербезопасности.
«Белые», или этичные хакеры — это специалисты, которые на договорной системе помогают компаниям тестировать информационные системы и устранять уязвимости. Под термином bug bounty понимаются программы вознаграждений для таких хакеров. Сейчас они никак не определены в российском законодательстве. Существует лишь «положение о конкурсах», в котором описаны условия вознаграждения.
Пока понятие bug bounty никак не определено в российском законодательстве, оно может трактоваться как «неправомерный доступ к компьютерной информации» (ст. 272 УК РФ). Похожую историю «Ведомостям» рассказал бизнес-консультант по безопасности Алексей Лукацкий:
«Достаточно вспомнить про историю админа одного из операторов связи в Обнинске, который решил помочь клиентам и просканировал их сеть на уязвимости, за что его прихватили сотрудники ФСБ и сейчас судят по ст. 274.1 за неправомерное воздействие на КИИ РФ. <…> С одной стороны, исследователи действуют в рамках договора и злого умысла у них нет, но с другой — договор всё не описывает и своими действиями они могут причинить ущерб, что может повлечь последствия».