Или как вариант человеку деньги нужны или еще что там и ему либо это дают, либо обещают, у других тупо романтизация всей этой фигни, мол, мы какие крутые.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Законопроект о "белых хакерах" застрял на стадии обсуждения из-за позиции ФСБ
- Автор темы Rehub
- Дата начала
Так уже. К примеру, Сбербанк сформировал отдел реверсинженеринга и набирал туда спецов. Спрашивается, где банк, где реверсеры?
Выяснилось, что большая часть софта используемые банком зарубежное.
Как только ввели санкции, лицензии на софт (как правило годовые) начали отваливаться, а с ними и софт перестал работать.
Банк бы купил лицензии, но кто ему даст это сделать? Вот и пошли по пути взлома софта. А теперь надо это все легализовать, естественно.
А скачать пиратскую версию Сбербанк V2.0 вы можете с Торента по ссылке в описании профиляТак уже. К примеру, Сбербанк сформировал отдел реверсинженеринга и набирал туда спецов. Спрашивается, где банк, где реверсеры?
Выяснилось, что большая часть софта используемые банком зарубежное.
Как только ввели санкции, лицензии на софт (как правило годовые) начали отваливаться, а с ними и софт перестал работать.
Банк бы купил лицензии, но кто ему даст это сделать? Вот и пошли по пути взлома софта. А теперь надо это все легализовать, естественно.
Тем временем вк
VK выплатила белым хакерам 37 миллионов рублей за год
По всему миру становится все более популярным направление Bug Bounty, где "белых" хакеров приглашают на "охоту" за уязвимостями в системах компаний. Хотя идея платить вознаграждение любому, кто найдет уязвимости в системах компаний и организаций не сразу завоевала популярность, но стала важным элементом в борьбе с киберугрозами.
Первыми пионерами в сфере Bug Bounty на российском рынке стали крупные интернет-компании, такие как VK и Яндекс. Они начали вознаграждать багхантеров за обнаружение уязвимостей в своих системах еще в 2012-2013 годах.
После ушедшего HackerOne в 2022 году, компании начали искать альтернативы на локальном рынке. Весной 2022 года Positive Technologies, а затем BI. ZONE, представили свои собственные платформы Bug Bounty. VK быстро присоединилась к новым российским площадкам, предоставляя для исследования свою экосистему продуктов.
За год на платформе Standoff 365 программы VK получили около 2 000 отчётов от 383 исследователей. Ошибки из 850 отчетов были взяты в работу, а за 650 из них были выплачены вознаграждения. VK только на РФ платформах заплатила багхантерам свыше 37 миллионов рублей. Ведь безопасность миллионов 🛡 пользователей – это не то, на чем можно экономить.
VK выплатила белым хакерам 37 миллионов рублей за год
По всему миру становится все более популярным направление Bug Bounty, где "белых" хакеров приглашают на "охоту" за уязвимостями в системах компаний. Хотя идея платить вознаграждение любому, кто найдет уязвимости в системах компаний и организаций не сразу завоевала популярность, но стала важным элементом в борьбе с киберугрозами.Первыми пионерами в сфере Bug Bounty на российском рынке стали крупные интернет-компании, такие как VK и Яндекс. Они начали вознаграждать багхантеров за обнаружение уязвимостей в своих системах еще в 2012-2013 годах.
После ушедшего HackerOne в 2022 году, компании начали искать альтернативы на локальном рынке. Весной 2022 года Positive Technologies, а затем BI. ZONE, представили свои собственные платформы Bug Bounty. VK быстро присоединилась к новым российским площадкам, предоставляя для исследования свою экосистему продуктов.
За год на платформе Standoff 365 программы VK получили около 2 000 отчётов от 383 исследователей. Ошибки из 850 отчетов были взяты в работу, а за 650 из них были выплачены вознаграждения. VK только на РФ платформах заплатила багхантерам свыше 37 миллионов рублей. Ведь безопасность миллионов 🛡 пользователей – это не то, на чем можно экономить.
А статистики, сколько было заведено уголовных дел на "белых" хакеров, нет?
шутки шутками но...))))
если у ру банка лицензионный софт это уже хорошо
когда то давным давно и этой фигни не было
ФСБ в доле.
Каким образом участвуя в бб (когда действительно есть открытая программа баг-баунти) и соблюдая условия ты получишь статью?А статистики, сколько было заведено уголовных дел на "белых" хакеров, нет?
Это пишут люди, которые скорее всего ни в чем подобном не участвовали. Максимум могли из банка позвонить и спросить за доходы и то так было только с одним знакомым.
Скажу больше, люди в DoD баги находили и репорты писали за мерч. Кто-нибудь может себе представить, чтобы амеры участвовали в багбаунти какого-нибудь МО РФ, находили в его инфраструктуре баги и сдавали их за кепочку с символикой? Никого не судили. К сожалению или к счастью тут уже каждый сам решит.
Был бы человек, а статья найдется. (И.В.Сталин)
Про кепки напомнил. Мой знакомый сдал багу (Скулю или РЦЕ) какому-то правительству (по моему бельгии) и ему прислали майку мол "Я взломал правительство бельгии и все что я получил это гребанную футболку".
Вот честно не знаю. Вот тема кстати про это https://xss.pro/threads/103628/А статистики, сколько было заведено уголовных дел на "белых" хакеров, нет?
Хакеров в России разделят на категории. Одним будут платить миллионы, других упекут в тюрьму на всю жизнь.
В России меняется отношение властей к киберпреступникам. Одних они хотят приравнять к террористам и бросать в тюрьму на всю жизнь, других – напротив, легализовать. Последнее относится к «белым» хакерам – государство намерено вынести их деятельность за пределы сферы влияния УК РФ в ближайшие месяцы. Российским силовикам это не по нраву.
Белая шляпа спасет от неба в «хештегах»
Российские власти намерены пересмотреть свое отношение к «белым» или «этичным» хакерам – взломщикам, которые вскрывают системы и сервисы не по злому умыслу, а по просьбе и за деньги владельцев этих сервисов, и иногда и бесплатно, чтобы указать им на уязвимости. Сейчас их деятельность никак не регулируется законом, но многие их деяния могут быть классифицированы сразу по нескольким статьям УК РФ. Более того, обычных хакеров, которые ломают госсистемы и сервисы, те же власти хотят приравнять к террористам – согласно нынешнему законодательству, таких преступников можно приговаривать к пожизненному заключению.
Как пишут «Известия», в самом ближайшем будущем в Госдуму будет внесен законопроект, облегчающий деятельность «белых» хакеров, чьим символом является белая шляпа, и легализующий их на территории России. Это не только упростит им жизнь – российские компании тоже получат свои «плюшки», ведь они смогут легально работать с ними, покупая их услуги.
По информации издания, законопроект, как только он превратится в закон, разрешит «этичным» хакерам тестировать системы и сервисы на защищенность от взлома и проникновения. Тут важно отметить, что им ничего не запрещает делать это сейчас – более того, в России существует несколько суверенных площадок багбаунти, где компании и даже госструктуры, например, Минцифры, заказывают услуги «белых» хакеров. Также среди заказчиков есть и крупнейшие российские ИТ-гиганты – «Яндекс», холдинг VK, банк «Тинькофф» и маркетплейс Ozon, заявил изданию один из авторов законопроекта, депутат Антон Немкин.
Однако при всем этом в правовом поле страны само понятие «баг баунти» (Bug Bounty, вознаграждение за поиск «дыр» и уязвимостей в ПО) отсутствует, что делает работу «белых» хакеров на территории России весьма рискованной. CNews писал – они открыто говорят, что боятся уголовного преследования.
Закон от партии власти
Авторами нового законопроекта, как пишут «Известия», являются депутаты от фракции «Единая России». В разработке документа им помогали их коллеги из фракции «Новые люди».
Законопроект представляет собой поправки к действующему федеральному закону 16-ФЗ «Об информации, информационных технологиях и о защите информации». По плану депутатов, документ будет рассмотрен нижней палатой парламента до конца весенней сессии, вот только в 2024 г. закончится она вовсе не весной и даже не начале лета, а лишь 9 августа 2024 г.
Среди тех, кто принимает участие в обсуждении документа, есть и Минцифры. Представители ведомства подтвердили изданию этот факт.
Текст законопроекта описывает основные сценарии сотрудничества компаний с «белыми» хакерами. Это и прямой контракт, так и взаимодействие посредством программы багбаунти.
Силовики недовольны
Важно отметить, что российские силовики против легализации «белых» хакеров. Как сообщал CNews, они единым фронтом выступили против этой инициативы еще в конце 2023 г. Против легализации «белых» хакеров совместно выступают Министерство внутренних дел и Генпрокуратура России, а также Следственный комитет. Все они утверждают, что никакие поправки в УК РФ, которые могли бы легализовать этичных хакеров, вносить не нужно.
По сути, силовики выступили против инициативы Минцифры – ведомство еще весной 2022 г. начало продвигать идею легализации таких специалистов. В марте 2022 г. оно выступило с идеей по финансовой поддержке этичных хакеров, а в июле 2022 г. от него поступило предложение по их легализации.
Риски не оправданы
В современной России, пока новый законопроект не стал частью ее законодательства, «этичные» хакеры очень рискуют, выполняя свою работу. Над ними постоянно висит угроза как уголовной, так и административной ответственности. Такого мнения придерживается, в том числе, управляющий партнер экспертной группы Veta Илья Жарский.
Он сообщил изданию, что «белым» хакерам лучше всего иметь все необходимые письменные разрешения на взлом от владельцев системы или сервиса, с которыми они договорились о сотрудничестве. Эти документы очень пригодятся, когда деятельностью хакеров заинтересуются правоохранительные органы. По словам Жарского, новый законопроект обеспечит и самим хакерам, и их клиентам «больше свободы для реализации защиты своих систем и охраны личных данных пользователей, баз данных госведомств и остального заинтересованного в этих поправках бизнеса», пишут «Известия».
Террористы и миллионеры
В настоящее время «белые» хакеры в России зарабатывают десятки и сотни тысяч рублей, а иногда и миллионы – сумма их гонорара в первую очередь зависит от платежеспособности клиента. Свою роль также играет и опасность уязвимости, которую нашли хакеры – чем более критична «дыра», тем, как правило, им больше им заплатят.
В 2023 г. холдинг VK, ранее известный как Mail.ru Group, выплатил «этичным» хакерам более 34 млн руб. за 1500 отчетов – специалисты искали бреши в большинстве сервисов компании, включая Skillfactory, а также в смарт-колонке «VK Капсула».
Несмотря на то, что «белые» хакеры до сих пор не легализованы в России, отечественные компании все охотнее пользуются их услугами и готовы тратить на них гораздо больше денег, нежели два года назад и даже год назад. Яркий пример тому – интернет-гигант «Яндекс», расходы которого на выплаты «этичным» хакерам по итогам 2023 г. достигли 70 млн руб. – это более чем в два раза больше, чем в 2022 г. В 2024 г. интернет-гигант выплатит хакерам, по меньшей мере, 100 млн руб.
У «Яндекса» даже есть собственная программа поощрения «белых» хакеров под названием «Охота за ошибками», в которой, по результатам 2023 г., приняли участие почти 530 взломщиков. За отчетный период они отправили «Яндексу» около 740 отчетов об уязвимостях, из которых 378 оказались уникальными – нашедшие их эксперты получили свои деньги.
Также «белые» хакеры сотрудничают напрямую с государством. Как сообщал CNews, в начале 2023 г. Минцифры инициировало программу по поиску «дыр» на сайте «Госуслуг». Проект Минцифры привлек более 8,4 тыс. белых хакеров со всей страны. Тестирование проходило на платформах Bi.Zone Bug Bounty и Standoff 365, принадлежащей Positive Technologies.
При этом взлом «Госуслуг», даже согласованный с Минцифры, может обернуться для хакеров пожизненным заключением. CNews писал, что в середине марта 2024 г. зампред комитета Госдумы по информполитике, ИТ и связи Андрей Свинцов (партия ЛДПР) лично предложил расценивать взлом сайтов госорганов и государственных же онлайн-сервисов как терроризм. Портал госуслуг он привел в качестве одного примеров госресурсов, за взлом которых киберперступника следует квалифицировать как реального террориста.
На момент выхода материала инициатива Свинцова оставалась на уровне идеи. Но пока что существует вероятность, что она превратится в законопроект, а затем и в закон, и нельзя исключать, что случится это быстрее, чем будет подписан законопроект о легализации «белых» хакеров».
В России меняется отношение властей к киберпреступникам. Одних они хотят приравнять к террористам и бросать в тюрьму на всю жизнь, других – напротив, легализовать. Последнее относится к «белым» хакерам – государство намерено вынести их деятельность за пределы сферы влияния УК РФ в ближайшие месяцы. Российским силовикам это не по нраву.
Белая шляпа спасет от неба в «хештегах»
Российские власти намерены пересмотреть свое отношение к «белым» или «этичным» хакерам – взломщикам, которые вскрывают системы и сервисы не по злому умыслу, а по просьбе и за деньги владельцев этих сервисов, и иногда и бесплатно, чтобы указать им на уязвимости. Сейчас их деятельность никак не регулируется законом, но многие их деяния могут быть классифицированы сразу по нескольким статьям УК РФ. Более того, обычных хакеров, которые ломают госсистемы и сервисы, те же власти хотят приравнять к террористам – согласно нынешнему законодательству, таких преступников можно приговаривать к пожизненному заключению.
Как пишут «Известия», в самом ближайшем будущем в Госдуму будет внесен законопроект, облегчающий деятельность «белых» хакеров, чьим символом является белая шляпа, и легализующий их на территории России. Это не только упростит им жизнь – российские компании тоже получат свои «плюшки», ведь они смогут легально работать с ними, покупая их услуги.
По информации издания, законопроект, как только он превратится в закон, разрешит «этичным» хакерам тестировать системы и сервисы на защищенность от взлома и проникновения. Тут важно отметить, что им ничего не запрещает делать это сейчас – более того, в России существует несколько суверенных площадок багбаунти, где компании и даже госструктуры, например, Минцифры, заказывают услуги «белых» хакеров. Также среди заказчиков есть и крупнейшие российские ИТ-гиганты – «Яндекс», холдинг VK, банк «Тинькофф» и маркетплейс Ozon, заявил изданию один из авторов законопроекта, депутат Антон Немкин.
Однако при всем этом в правовом поле страны само понятие «баг баунти» (Bug Bounty, вознаграждение за поиск «дыр» и уязвимостей в ПО) отсутствует, что делает работу «белых» хакеров на территории России весьма рискованной. CNews писал – они открыто говорят, что боятся уголовного преследования.
Закон от партии власти
Авторами нового законопроекта, как пишут «Известия», являются депутаты от фракции «Единая России». В разработке документа им помогали их коллеги из фракции «Новые люди».
Законопроект представляет собой поправки к действующему федеральному закону 16-ФЗ «Об информации, информационных технологиях и о защите информации». По плану депутатов, документ будет рассмотрен нижней палатой парламента до конца весенней сессии, вот только в 2024 г. закончится она вовсе не весной и даже не начале лета, а лишь 9 августа 2024 г.
Среди тех, кто принимает участие в обсуждении документа, есть и Минцифры. Представители ведомства подтвердили изданию этот факт.
Текст законопроекта описывает основные сценарии сотрудничества компаний с «белыми» хакерами. Это и прямой контракт, так и взаимодействие посредством программы багбаунти.
Силовики недовольны
Важно отметить, что российские силовики против легализации «белых» хакеров. Как сообщал CNews, они единым фронтом выступили против этой инициативы еще в конце 2023 г. Против легализации «белых» хакеров совместно выступают Министерство внутренних дел и Генпрокуратура России, а также Следственный комитет. Все они утверждают, что никакие поправки в УК РФ, которые могли бы легализовать этичных хакеров, вносить не нужно.
По сути, силовики выступили против инициативы Минцифры – ведомство еще весной 2022 г. начало продвигать идею легализации таких специалистов. В марте 2022 г. оно выступило с идеей по финансовой поддержке этичных хакеров, а в июле 2022 г. от него поступило предложение по их легализации.
Риски не оправданы
В современной России, пока новый законопроект не стал частью ее законодательства, «этичные» хакеры очень рискуют, выполняя свою работу. Над ними постоянно висит угроза как уголовной, так и административной ответственности. Такого мнения придерживается, в том числе, управляющий партнер экспертной группы Veta Илья Жарский.
Он сообщил изданию, что «белым» хакерам лучше всего иметь все необходимые письменные разрешения на взлом от владельцев системы или сервиса, с которыми они договорились о сотрудничестве. Эти документы очень пригодятся, когда деятельностью хакеров заинтересуются правоохранительные органы. По словам Жарского, новый законопроект обеспечит и самим хакерам, и их клиентам «больше свободы для реализации защиты своих систем и охраны личных данных пользователей, баз данных госведомств и остального заинтересованного в этих поправках бизнеса», пишут «Известия».
Террористы и миллионеры
В настоящее время «белые» хакеры в России зарабатывают десятки и сотни тысяч рублей, а иногда и миллионы – сумма их гонорара в первую очередь зависит от платежеспособности клиента. Свою роль также играет и опасность уязвимости, которую нашли хакеры – чем более критична «дыра», тем, как правило, им больше им заплатят.
В 2023 г. холдинг VK, ранее известный как Mail.ru Group, выплатил «этичным» хакерам более 34 млн руб. за 1500 отчетов – специалисты искали бреши в большинстве сервисов компании, включая Skillfactory, а также в смарт-колонке «VK Капсула».
Несмотря на то, что «белые» хакеры до сих пор не легализованы в России, отечественные компании все охотнее пользуются их услугами и готовы тратить на них гораздо больше денег, нежели два года назад и даже год назад. Яркий пример тому – интернет-гигант «Яндекс», расходы которого на выплаты «этичным» хакерам по итогам 2023 г. достигли 70 млн руб. – это более чем в два раза больше, чем в 2022 г. В 2024 г. интернет-гигант выплатит хакерам, по меньшей мере, 100 млн руб.
У «Яндекса» даже есть собственная программа поощрения «белых» хакеров под названием «Охота за ошибками», в которой, по результатам 2023 г., приняли участие почти 530 взломщиков. За отчетный период они отправили «Яндексу» около 740 отчетов об уязвимостях, из которых 378 оказались уникальными – нашедшие их эксперты получили свои деньги.
Также «белые» хакеры сотрудничают напрямую с государством. Как сообщал CNews, в начале 2023 г. Минцифры инициировало программу по поиску «дыр» на сайте «Госуслуг». Проект Минцифры привлек более 8,4 тыс. белых хакеров со всей страны. Тестирование проходило на платформах Bi.Zone Bug Bounty и Standoff 365, принадлежащей Positive Technologies.
При этом взлом «Госуслуг», даже согласованный с Минцифры, может обернуться для хакеров пожизненным заключением. CNews писал, что в середине марта 2024 г. зампред комитета Госдумы по информполитике, ИТ и связи Андрей Свинцов (партия ЛДПР) лично предложил расценивать взлом сайтов госорганов и государственных же онлайн-сервисов как терроризм. Портал госуслуг он привел в качестве одного примеров госресурсов, за взлом которых киберперступника следует квалифицировать как реального террориста.
На момент выхода материала инициатива Свинцова оставалась на уровне идеи. Но пока что существует вероятность, что она превратится в законопроект, а затем и в закон, и нельзя исключать, что случится это быстрее, чем будет подписан законопроект о легализации «белых» хакеров».
В Госдуме одобрили проект о легализации деятельности белых хакеров
МОСКВА, 25 мар - РИА Новости. Комитет ГД по госстроительству рекомендовал Думе принять в первом чтении законопроект, направленный на легализацию деятельности "белых" хакеров в России.
Авторы законопроекта - представители партийного проекта "Цифровая Россия" Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев – предлагают внести ряд поправок в статью 1280 части четвертой Гражданского кодекса РФ.
Как поясняли авторы проекта, сегодня для проведения тестирования защищенности систем российских компаний "белым" хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав. В таком случае "белых" хакеров могут обязать выплатить компенсации в размере от 10 тысяч рублей до 5 миллионов рублей, либо в двукратном размере стоимости права использования соответствующей программы.
Исходя из этого, законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ или экземпляром базы данных, в целях выявления его уязвимостей для исправления явных ошибок, отмечали авторы инициативы.
Согласно законопроекту, "белые" хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, за исключением случаев, если установить его место нахождения, место жительства или адрес для переписки не удалось.
Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов, отмечается в документах.
Первый заместитель председателя комитета по региональной политике и местному самоуправлению, координатор партийной проекта "Цифровая Россия" в Московской области Геннадий Панин также отмечал - если по действующим нормам законодательства можно тестировать программу только для обеспечения общей работоспособности и адаптации под свои нужды применения, то поправки помогают сделать ставку на обеспечение информационной безопасности.
Проектом предоставляется право вносить правки без разрешения правообладателя соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов и без вознаграждения ему. То есть, правомерно владея программой, пользователь не только сможет донастраивать продукт, но и исследовать со стороны безопасности - тестировать, насколько уязвимо, вносить требуемые изменения.
МОСКВА, 25 мар - РИА Новости. Комитет ГД по госстроительству рекомендовал Думе принять в первом чтении законопроект, направленный на легализацию деятельности "белых" хакеров в России.
Авторы законопроекта - представители партийного проекта "Цифровая Россия" Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев – предлагают внести ряд поправок в статью 1280 части четвертой Гражданского кодекса РФ.
Как поясняли авторы проекта, сегодня для проведения тестирования защищенности систем российских компаний "белым" хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав. В таком случае "белых" хакеров могут обязать выплатить компенсации в размере от 10 тысяч рублей до 5 миллионов рублей, либо в двукратном размере стоимости права использования соответствующей программы.
Исходя из этого, законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ или экземпляром базы данных, в целях выявления его уязвимостей для исправления явных ошибок, отмечали авторы инициативы.
Согласно законопроекту, "белые" хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, за исключением случаев, если установить его место нахождения, место жительства или адрес для переписки не удалось.
Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов, отмечается в документах.
Первый заместитель председателя комитета по региональной политике и местному самоуправлению, координатор партийной проекта "Цифровая Россия" в Московской области Геннадий Панин также отмечал - если по действующим нормам законодательства можно тестировать программу только для обеспечения общей работоспособности и адаптации под свои нужды применения, то поправки помогают сделать ставку на обеспечение информационной безопасности.
Проектом предоставляется право вносить правки без разрешения правообладателя соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов и без вознаграждения ему. То есть, правомерно владея программой, пользователь не только сможет донастраивать продукт, но и исследовать со стороны безопасности - тестировать, насколько уязвимо, вносить требуемые изменения.
В России готовят новый закон о работе «белых хакеров»
Группа сенаторов работает над законопроектом, который обязывает операторов критической информационной инфраструктуры (КИИ) проводить тестирования на уязвимости с привлечением внешних специалистов за вознаграждение (Bug Bounty).
Законопроект «О деятельности по поиску уязвимостей» разработан в Совете по развитию цифровой экономики при Совете федерации совместно с участниками рынка кибербезопасности и предполагает изменения в три ФЗ: «О безопасности критической информационной инфраструктуры», «О лицензировании отдельных видов деятельности» и «Об информации, информтехнологиях и о защите информации».
Как сообщил «Коммерсанту» один из его авторов, сенатор Артем Шейкин, законопроект, который сейчас находится на стадии обсуждения, не только обязывает владельцев КИИ проводить тестирования, но и регламентирует работу их участников, а также устанавливает требования к платформам.
Контроль за Bug Bounty предполагается передать ФСТЭК России. Этому же регулятору участники тестирований должны будут отправлять сведения об обнаруженных уязвимостях.
Как особо подчеркнул Артем Шейкин, уже принятый в первом чтении законопроект № 509708-8 снимает далеко не все препятствия для деятельности «белых хакеров». Разработанный сенаторами документ данную задачу решает.
Отношение экспертов, опрошенных изданием, оказалось неоднозначным. Основатель платформы Bug Bounty bugbounty.ru Лука Сафонов опасается, что требования к уставному капиталу и «гарантийному фонду» могут способствовать монополизации рынка.
Представители операторов связи назвали появление требования по обязательному тестированию избыточным, а банковской сферы, наоборот, — назвали его скорее полезным.
• Source: https://www.kommersant[.]ru/doc/7299390
На самом деле всё еще куда хуже, дело в том, что ПО старое и исходный код потеряли, а документации нет. Такое не редкость в банковской сфере. Я уже не говорю про кобол и майнфреймы.
del
Последнее редактирование:
Российские власти предложили две формы поиска уязвимостей, чтобы легализовать «белых хакеров»
В Совете Федерации предлагают Министерству цифрового развития, связи и массовых коммуникаций России ряд мер для легализации работы «белых хакеров». Например, там видят целесообразным ввести в регулирование «инициативную» форму их сотрудничества с владельцами ИТ-систем, которая позволит исследователям находить уязвимости и уведомлять о них без юридических рисков.
Обелить деятельность
Российские власти стремятся легализовать «белых хакеров», которые занимаются поиском уязвимостей в программном обеспечении компаний, пишет «Коммерсант». В Совете Федерации предложили две формы поиска уязвимостей.
Журналисты «Коммерсант» ознакомились с письмом первого зампреда комитета Совфеда по конституционному законодательству и госстроительству Артема Шейкина замглавы Минцифры Ивану Лебедеву о регулировании деятельности «белых хакеров» и их работе, в том числе в рамках платформы Bug Bounty (для поиска уязвимостей в ИТ-системах за вознаграждение). Документ был направлен 25 марта 2025 г. Так, Шейкин предлагает ввести две формы поиска уязвимостей: закрытую (с привлечением ограниченного круга исследователей) и открытую (с привлечением неограниченного числа исследователей), следует из письма.
Артем Шейкин поясняет, что программы Bug Bounty не являются обязательными, а работа «белых хакеров» не регулируется законом на официальном уровне. По его мнению, помимо двусторонних договорных отношений между экспертами и заказчиками, а также трехсторонних (когда заказчик использует платформу Bug Bounty, которая затем подключает независимых специалистов), необходимо предусмотреть возможность «инициативных действий» со стороны исследователей. Такие действия подразумевают самостоятельное обнаружение уязвимостей с последующей передачей данных о них владельцам соответствующих ИТ-систем и программ.
В Совете Федерации предлагают Министерству цифрового развития, связи и массовых коммуникаций (Минцифры) России ряд мер для легализации работы «белых хакеров» — специалистов по поиску уязвимостей в ИТ-системах за вознаграждение. Например, там видят целесообразным ввести в регулирование «инициативную» форму их сотрудничества с владельцами ИТ-систем, которая позволит исследователям находить уязвимости и уведомлять о них без юридических рисков. В 2024 г. в Госдуму уже внесен законопроект, о чем уведомлял CNews, который должен снять ряд спорных вопросов к деятельности «белых хакеров», но после прохождения проекта в первом чтении прошлой осенью документ не обсуждался.
В Минцифры сообщили «Коммерсант», что предложения прорабатываются вместе с заинтересованными ведомствами и отраслями. В министерстве считают целесообразным урегулировать статус «белого хакера», а также предусмотреть на законодательном уровне ответственность в случае нарушения условий деятельности. Это позволит обеспечить возможность привлечь «белых хакеров» для оценки защищенности и исключить риски для владельцев информсистем, добавили в Минцифры.
Формирование реестра
Как писал CNews летом 2024 г., Совет Федерации, Федеральная служба безопасности (ФСБ) России, Министерство внутренних дел (МВД) России и компании, занятые в сфере информационной безопасности (ИБ), изучают возможность создания реестра «белых хакеров» для легализации их деятельности в стране.
По мнению профильных юристов, сейчас в Уголовном кодексе (УК) России есть целый ряд статей, под которые может подпадать деятельность «белых хакеров». В их числе «неправомерный доступ к компьютерной информации», «создание, использование и распространение вредоносных компьютерных программ», «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации». Для того чтобы легализовать «белых хакеров», Минцифры России придется вносить изменения в несколько статей УК и прописывать там, что действия «белых хакеров» не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции.
Отзывы на рынке
В компании F6 (ранее Group-IB) пояснили, что в отсутствие соответствующей юридической базы «белым хакерам» приходилось либо заключать договоры гражданско-правового характера (ГПХ), либо работать через специализированные компании, которые привлекают их на договорной основе. Тем не менее, множество ситуаций, не охваченных такими договорными отношениями, по-прежнему вызывает вопросы и остаются неурегулированным и на март 2025 г.
«Информация об ошибке есть, договора нет: нужно сообщить об угрозе, но реакция получателя информации может быть самой разной, вплоть до привлечения к уголовной ответственности исследователя»,— приводит пример независимый эксперт по кибербезопасности Андрей Брызгин.
Директор по развитию сервисов кибербезопасности компании «Бастион» Алексей Гришин считает, что создание реестра позволит оценивать и грамотно выстраивать условия работы «белых хакеров». На данный момент компании в этой сфере ориентируются на квалификацию специалистов, подтвержденную международными сертификатами, такими как Offensive Security Certified Professional (OSCP) и Certified Ethical Hacker (CEH). «Люди, работающие в этой области информационной безопасности (ИБ) и обладающие такими сертификатами, уже включены в международные списки «белых хакеров», которые в России недоступны», — поясняет он.
В то же время основатель BugBounty.ru Лука Сафонов предостерегает, что появление российского реестра «белых хакеров» может обернуться для ИТ-специалистов включением в санкционные списки.
Введение же реестра для «белых хакеров» на базе «Госуслуг» при этом в отрасли оценивают неоднозначно. Руководитель департамента аудита и консалтинга F6 Евгений Янов видит в этом повышение порога вхождения в профессию, что, в свою очередь, снижает привлекательность ее для молодых ИТ-специалистов, и риск избыточной бюрократизации рынка в России.
Госдума отклонила закон о легализации белых хакеров, несмотря на то, что он уже был принят в первом чтении почти год назад. Нашелся целый список причин, по которым в России белые хакеры в случае чего будут нести такую же ответственность, что и обычные.
Белый, черный – разницы нет
Госдума России официально отклонила законопроект о легализации так называемых «белых» хакеров – тех, кто взламывает сервисы, инфраструктуру и ПО по заказу их владельцев. Как пишет РБК, рекомендацию отклонить закон передал профильный комитета Госдумы по государственному строительству и законодательству.
В России движение белых хакеров очень развито – в стране существуют несколько платформ, на которых компании размещают заказы на тестирование безопасности их систем. В частности, такие платформы есть у ИБ-компаний Bi.Zone и Positive Technologies.
Услугами белых хакеров пользуются очень многие организации, потому что дешевле заплатить им за поиск уязвимостей, чем потом страдать от взлома и утечки данных или платить выкуп хакерам-вымогателям.
Очень востребованные специалисты
Среди тех, кто заказывает услуги по взлому своих систем, есть не только частные компании, но также и отечественные госструктуры, например, Минцифры России. Хакеры, такие услуги предоставляющие, могут зарабатывать вплоть до миллионов рублей в зависимости от критичности и количества найденных ими уязвимостей.
Именно Минцифры добивается легализации в России белых хакеров. Этот вопрос находится в публичном поле с весны 2022 г. – примерно в этот период всемирно известная американская платформа для белых хакеров HackerOne прекратила работу с российскими специалистами на почве санкций.
Реализовать эту затею планировалось на уровне закона. В декабре 2023 г. на рассмотрение в Госдуму был внесен законопроект № 509708-8 «О внесении изменений в статью 1280 части четвертой ГК РФ (об использовании программ для ЭВМ и баз данных)» за авторством группы депутатов Госдумы.
Пока одни законопроекты становятся законами в считанные недели, этот документ лежал на полке почти год – он был принят в первом чтении лишь в октябре 2024 г. На этом его рассмотрение застопорилось еще на несколько месяцев – 16 мая 2025 г. было принято решение о рассмотрении документа во втором чтении, однако 8 июля 2025 г. Дума отклонила его.
Причины отказа
По информации РБК, члены комитета, давшего рекомендацию по отклонению законопроекта, уверены, что тот «не учитывает особенности информационного обеспечения работы госорганов». Комитет счел, что в документе не учитываются нормы о гостайне и безопасности критической информационной инфраструктуры (КИИ – информсистемы госорганов, транспортных, энергетических, финансовых других компаний).
Одной причиной рекомендации по отказу комитет Госдумы ограничиваться не стал. Он аргументировал свое решение еще и тем, что российское законодательство в целом не готово к легализации хакеров. Другими словами, в других законах нет необходимых изменений.
Отзыв комитета гласит, что для «обеления» белых хакеров требуется комплексная модернизация действующего российского законодательства, в том числе и уголовного.
«Эти изменения должны определить правила поиска уязвимостей и снизить связанные с этим риски, но такие поправки до сих пор не внесены» – пишет РБК со ссылкой на отзыв комитета Госдумы по госстроительству.
Отдельно составители отзыва упомянули национальную безопасность России как еще одну причину для отклонения законопроекта. В комитете посчитали, что ей угрожает пункт документа о возможности уведомлять разработчиков или правообладателей программ и сервисов о наличии «дыр» в их продуктах. Разработчики и правообладатели могут дислоцироваться в недружественной юрисдикции, следовательно, передача им сведений об уязвимостях в их же продуктах может угрожать нацбезопасности России, уверены в комитете Госдумы.
Попытка номер два
В Минцифры сообщили изданию, что в настоящее время ведомство находится в обсуждении «инициативы по определению требований и правил при проведении мероприятий по поиску уязвимостей», а заодно и «законодательной ответственности в случае их нарушения». Обсуждение, пишет РБК, ведется «с заинтересованными госорганами». Их перечень не раскрывается.
Авторы законопроекта намерены повторно внести его на рассмотрение в Госдуму, но уже в составе целого пакета документов «касающихся правового статуса и правил деятельности пентестеров», пишет РБК ос ссылкой на депутата Антона Немкина – члена ИТ-комитета Госдумы и одного из авторов законопроекта.
Пентестер – это ИБ-специалист, проводящий «пентесты» (от англ. Pentest или Pentetration test – тест на проникновение).
Важно подчеркнуть, что против легализации белых хакеров с самого начала выступали силовые структуры. CNews писал об этом в ноябре 2023 г.
Белый, черный – разницы нет
Госдума России официально отклонила законопроект о легализации так называемых «белых» хакеров – тех, кто взламывает сервисы, инфраструктуру и ПО по заказу их владельцев. Как пишет РБК, рекомендацию отклонить закон передал профильный комитета Госдумы по государственному строительству и законодательству.
В России движение белых хакеров очень развито – в стране существуют несколько платформ, на которых компании размещают заказы на тестирование безопасности их систем. В частности, такие платформы есть у ИБ-компаний Bi.Zone и Positive Technologies.
Услугами белых хакеров пользуются очень многие организации, потому что дешевле заплатить им за поиск уязвимостей, чем потом страдать от взлома и утечки данных или платить выкуп хакерам-вымогателям.
Очень востребованные специалисты
Среди тех, кто заказывает услуги по взлому своих систем, есть не только частные компании, но также и отечественные госструктуры, например, Минцифры России. Хакеры, такие услуги предоставляющие, могут зарабатывать вплоть до миллионов рублей в зависимости от критичности и количества найденных ими уязвимостей.
Именно Минцифры добивается легализации в России белых хакеров. Этот вопрос находится в публичном поле с весны 2022 г. – примерно в этот период всемирно известная американская платформа для белых хакеров HackerOne прекратила работу с российскими специалистами на почве санкций.
Реализовать эту затею планировалось на уровне закона. В декабре 2023 г. на рассмотрение в Госдуму был внесен законопроект № 509708-8 «О внесении изменений в статью 1280 части четвертой ГК РФ (об использовании программ для ЭВМ и баз данных)» за авторством группы депутатов Госдумы.
Пока одни законопроекты становятся законами в считанные недели, этот документ лежал на полке почти год – он был принят в первом чтении лишь в октябре 2024 г. На этом его рассмотрение застопорилось еще на несколько месяцев – 16 мая 2025 г. было принято решение о рассмотрении документа во втором чтении, однако 8 июля 2025 г. Дума отклонила его.
Причины отказа
По информации РБК, члены комитета, давшего рекомендацию по отклонению законопроекта, уверены, что тот «не учитывает особенности информационного обеспечения работы госорганов». Комитет счел, что в документе не учитываются нормы о гостайне и безопасности критической информационной инфраструктуры (КИИ – информсистемы госорганов, транспортных, энергетических, финансовых других компаний).
Одной причиной рекомендации по отказу комитет Госдумы ограничиваться не стал. Он аргументировал свое решение еще и тем, что российское законодательство в целом не готово к легализации хакеров. Другими словами, в других законах нет необходимых изменений.
Отзыв комитета гласит, что для «обеления» белых хакеров требуется комплексная модернизация действующего российского законодательства, в том числе и уголовного.
«Эти изменения должны определить правила поиска уязвимостей и снизить связанные с этим риски, но такие поправки до сих пор не внесены» – пишет РБК со ссылкой на отзыв комитета Госдумы по госстроительству.
Отдельно составители отзыва упомянули национальную безопасность России как еще одну причину для отклонения законопроекта. В комитете посчитали, что ей угрожает пункт документа о возможности уведомлять разработчиков или правообладателей программ и сервисов о наличии «дыр» в их продуктах. Разработчики и правообладатели могут дислоцироваться в недружественной юрисдикции, следовательно, передача им сведений об уязвимостях в их же продуктах может угрожать нацбезопасности России, уверены в комитете Госдумы.
Попытка номер два
В Минцифры сообщили изданию, что в настоящее время ведомство находится в обсуждении «инициативы по определению требований и правил при проведении мероприятий по поиску уязвимостей», а заодно и «законодательной ответственности в случае их нарушения». Обсуждение, пишет РБК, ведется «с заинтересованными госорганами». Их перечень не раскрывается.
Авторы законопроекта намерены повторно внести его на рассмотрение в Госдуму, но уже в составе целого пакета документов «касающихся правового статуса и правил деятельности пентестеров», пишет РБК ос ссылкой на депутата Антона Немкина – члена ИТ-комитета Госдумы и одного из авторов законопроекта.
Пентестер – это ИБ-специалист, проводящий «пентесты» (от англ. Pentest или Pentetration test – тест на проникновение).
Важно подчеркнуть, что против легализации белых хакеров с самого начала выступали силовые структуры. CNews писал об этом в ноябре 2023 г.