Минцифры намерено легализовать рынок услуг по поиску уязвимостей в информационных системах

Минцифры выступило с предложением легализовать деятельность специалистов по компьютерной безопасности, иначе говоря — белых хакеров, которые по просьбе компаний занимаются поиском уязвимостей в их информационных системах, сообщают "Ведомости".

 

Инициатива продиктована тем, что на текущий момент деятельность таких специалистов никак не прописана в российском законодательстве, а спрос на соответствующую услугу растет. Так что сейчас действия белых хакеров подпадают под ст.272 Уголовного Кодекса РФ, по которой им грозит уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации, в случае, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование этой информации. Получается, что сотрудничество с такими специалистами сейчас приводит к рискам как со стороны заказчика, так и исполнителя. Как правило, заказчики, заключая договор с белыми хакерами, прописывают, что берутся за свой счет урегулировать все претензии и покрыть убытки.

 

Реализовывать инициативу, по мнению экспертов, нужно на рынке bug bounty. Существует одноимённая программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения. С помощью данной программы специалисты по компьютерной безопасности могут получать вознаграждение за нахождение ошибок в информсистемах.

 

"Сегодня рынок bug bounty только начинает свое становление в России, происходит переосмысление его целей и задач. В сторону открытия своих bug bounty программ начинают смотреть не только разработчики многопользовательских приложений: банки, e-commerce, ИТ-компании, но и организации с критической инфраструктурой. Таким организациям важно построить процессы, при которых недопустимые для бизнеса события не могут произойти; они готовы платить за работу исследователя, который покажет всю последовательность возможных действий злоумышленника. Вознаграждение за такую работу может в разы или даже на порядки превышать вознаграждение за уязвимость, поэтому рынок bug bounty в России ждет взрывной рост", — цитирует руководителя одной из первых в России bug bounty-платформ The Standoff 365 Ярослава Бабина издание Telesputnik. 

 

Напомним, Минцифры также обсуждает с представителями IT-сферы выделение информационной безопасности (ИБ) в отдельную отрасль. Это позволит ввести для данной сферы свое регулирование и бюджетирование, а также установить налоговые льготы только для ИБ, что по итогу даст меньший объем выпадающих налоговых доходов.