Комитет ГД одобрил поправки в ГК РФ, направленные на легализацию "белых" хакеров

Законопроект, который предлагает внесение поправок в статью 1280 части четвертой Гражданского кодекса РФ для легализации деятельности «белых» хакеров в России, рекомендован к принятию в первом чтении.
Комитет Госдумы по госстроительству и законодательству рекомендовал палате парламента принять в первом чтении первый из пакета законопроектов, направленных на легализацию деятельности «белых» хакеров в России. Авторы законопроекта - представители партийного проекта «Цифровая Россия» Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев – предлагают внести ряд поправок в статью 1280 части четвертой Гражданского кодекса РФ.
Сегодня для проведения тестирования защищенности систем российских компаний «белым» хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав. В таком случае «белых» хакеров могут обязать выплатить компенсации в размере от 10 тысяч рублей до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы.
Исходя из этого законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ или экземпляром базы данных, в целях выявления его уязвимостей для исправления явных ошибок. Также этот процесс можно поручить иным лицам при соблюдении ряда условий: выявление уязвимостей осуществляется исключительно в отношении экземпляров программ для ЭВМ и базы данных,
функционирующих на технических средствах пользователя; передавать информацию о выявленных пробелах можно только правообладателю или тем, кто будет искоренять эти уязвимости, если иное не установлено законом.
Согласно законопроекту, «белые» хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, за исключением случаев, если установить его место нахождения, место жительства или адрес для переписки не удалось.
Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов.
Работа «белых» хакеров должна стать сегодня обыденным и необходимым инструментом для российских компаний, уверен один из авторов законопроекта, член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

«Сегодня государственным органам и крупным корпорациям, которые зачастую и сами имеют собственный штат квалифицированных IT-специалистов, важно систематически привлекать «белых» хакеров как независимых профессионалов. Это связано с тем, что они могут со своей стороны проверить безопасность информационных систем, используя те же инструменты, что и их неэтичные коллеги. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам – в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы. Тестируя IT-системы на прочность, «белый» хакер действует по поручению и с согласия владельца такой системы и не совершает чего-либо незаконного. Наша цель – добиться того, чтобы это было закреплено в законодательстве, а сами специалисты получили больше свободы для своей работы на благо государства», - отмечает депутат.

На фоне увеличившегося количества атак на российские информационные системы, наша страна нуждается в регулировании, которое выведет работу с такими специалистами в правовую плоскость.

«Сейчас особенно важно защищать ключевые государственные системы и сервисы от беспрецедентных внешних атак – в 2023 году их количество выросло на 65% по сравнению с предыдущим годом. Тем не менее, российский рынок баг-баунти находится в стадии становления и пока очень мал — его объем в 2023 году не превысил 200 млн рублей. Отчасти это связано с тем, что в России существуют определенные риски для работы «белых» хакеров, поэтому сегодня они не спешат выходить из тени. Мы стараемся решить эту проблему нашими законопроектами. Уверен, когда они вступят в силу, популярность «белых» хакеров возрастет кратно», - заключил Антон Немкин.

Сегодня услугами этичных хакеров уже пользуются некоторые компании. Например, Яндекс в 2023 году за поиск уязвимостей в сервисах и инфраструктуре заплатил таким специалистам 70 млн рублей. В этом году на эти цели выделят уже 100 млн рублей. В компании также проводят конкурсы по поиску конкретных типов ошибок, в рамках которых награды могут увеличиваться в 10 раз по сравнению с обычными выплатами. При этом сам Яндекс видит конкретную пользу от проведения таких конкурсов - они помогают сфокусировать внимание «белых» хакеров на наиболее важных для компании направлениях безопасности. Например, один из таких конкурсов провели специально для поиска уязвимостей, которые могли бы привести к утечкам данных. Свои программы также запускают Ozon, VK, «Тинькофф».