Госдума отклонила легализацию белых хакеров. Bug bounty остаётся в серой зоне

Госдума отклонила законопроект, который должен был ввести в правовое поле деятельность «белых» хакеров и программы bug bounty. Несмотря на то, что документ прошел первое чтение, его отправили на доработку. Причины отказа звучат предсказуемо: законопроект не учитывает нормы о гостайне и безопасности критической информационной инфраструктуры (КИИ). Кроме того, для легализации пентестеров требуются комплексные поправки в другие законы, в том числе в Уголовный кодекс, которые до сих пор не подготовлены.

Ключевым аргументом против стало то, что законопроект разрешал сообщать о найденных уязвимостях напрямую правообладателям ПО. В текущих реалиях, если правообладатель находится в недружественной юрисдикции, передача такой информации, по мнению правительства, может угрожать национальной безопасности России. Таким образом, весь флоу раскрытия уязвимостей, особенно в российском софте, все больше замыкается на ФСТЭК и его Банк данных угроз.

Минцифры уже готовит новый, более комплексный пакет законопроектов. Обсуждаются идеи по созданию закрытых и открытых программ bug bounty, а также идентификация «белых» хакеров через ЕСИА («Госуслуги»). Пока же «белые» хакеры продолжают работать в правовом вакууме, где любая ошибка может привести к их обвинениям. На практике это означает, что без четкого договора и лицензии ФСТЭК (как у крупных ИБ-компаний) любой ресерч остается рискованным занятием.

Пока — уязвимости в праве, а не в софте.

Источник: vk.com

Комментарии: