В Совфеде рекомендовали Минцифры как можно скорее узаконить деятельность "белых" хакеров

Зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин пояснил, что регламентация деятельности специалистов по поиску уязвимостей поможет им чувствовать себя защищенными в правовом плане

Совет по развитию цифровой экономики при Совете Федерации рекомендует Минцифры РФ ускорить работу над законопроектом, который узаконит деятельность по поиску уязвимостей в программном обеспечении за вознаграждение и определит границы ответственности для так называемых белых хакеров. Такая рекомендация содержится в решении секции по технологическому суверенитету и информационной безопасности РФ, утвержденном накануне.

"Рекомендовать Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации активизировать работу по разработке законодательной инициативы, направленной на ввод в правовое поле деятельности по поиску уязвимостей в ПО за вознаграждение и определения границ ответственности специалистов по поиску уязвимостей", - говорится в документе, который имеется в распоряжении ТАСС.

Как рассказал ТАСС зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин, возглавляющий секцию по технологическому суверенитету и информационной безопасности РФ, идея о разработке законопроекта, который ввел бы понятие bug bounty (поиск уязвимостей в ПО за вознаграждение) в правовое поле публично обсуждается с лета 2022 года и его проработкой занимались в Минцифры. В законопроекте в частности идет речь о внесении изменений в статью 272 Уголовного кодекса (УК) РФ (неправомерный доступ к компьютерной информации). "Движение законопроекта осложнилось из-за позиции ряда ведомств, так как грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая", - пояснил сенатор.

По его словам, сейчас в УК РФ есть несколько статей, под которые может подпадать деятельность "белых" хакеров. "По мнению некоторых экспертов, проблематично делать примечания к действующим статьям УК и прописывать, что их действия не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции. Формально это все равно будет преступное деяние, и в случае спорных ситуаций правоохранительные органы будут давать оценку, является конкретное действие социально значимым или нет", - отметил Шейкин.

Легализация "белых" хакеров

При этом, подчеркнул парламентарий, законопроект направлен на легализацию и упрощение деятельности "белых" хакеров, "так как это позволит активизировать тех исследователей, которые опасаются каких-либо правовых последствий". "В то же время, существуют возможные положения законопроекта, которые могут помешать специалистам по поиску уязвимостей. Например, если в нем будут положения о создании какого-либо реестра "белых" хакеров, лицензировании физлиц, то это потребует от исследователей выйти из тени, к чему многие из них определенно не готовы", - указал зампред Совета по цифровизации.

Он рассказал, что по мнению членов секции по обеспечению технологического суверенитета и информационной безопасности РФ, законодательство о компьютерных преступлениях устарело, и они предлагают модернизировать подходы и методологию принятия решений. "В связи с этим, было выдвинуто предложение по определению нового вида деятельности по поиску уязвимостей в ПО за вознаграждение, а также предложение об определении границы ответственности специалистов по поиску уязвимостей на законных основаниях. А Минцифры было рекомендовано возобновить работу по разработке законодательной инициативы, направленной на ввод в правовое поле деятельности по поиску уязвимостей в ПО за вознаграждение и определения границ ответственности специалистов по поиску уязвимостей", - сказал Шейкин.

Он убежден, что регламентация деятельности специалистов по поиску уязвимостей "поможет им чувствовать, что они защищены в правовом плане и повысит их заинтересованность" в работе по этому направлению.