Все в белом: Минцифры планирует узаконить bug bounty

Все в белом: Минцифры планирует узаконить bug bounty

Все в белом: Минцифры планирует узаконить bug bounty

Ведомство намерено легализовать программу выплат “белым” хакерам. Сейчас понятия “bug bounty” в российском законодательстве нет. “Этичные” хакеры могут попасть под уголовную статью за “неправомерный доступ к компьютерной информации”.

“Специалист одного из операторов связи в Обнинске решил помочь клиентам и просканировал их сеть на уязвимости. За это его задержали сотрудники ФСБ, и сейчас он проходит по делу за неправомерное воздействие на КИИ РФ”, — суть проблемы на живом примере объясняет бизнес-консультант по безопасности Алексей Лукацкий.

О планах Минцифры перевести “охоту за багами” в правовое поле сегодня “Ведомостям” рассказал источник одной из компаний по кибербезопасности.

Реформа легализует работу исследователей, которые за деньги тестируют информационные системы на уязвимости. Сейчас их действия могут трактоваться как “неправомерный доступ к компьютерной информации” и попадать под статью 272 УК РФ.

“Отсутствие понятия bug bounty на законодательном уровне создаёт проблему”, — продолжает Лукацкий. Специалист считает, что попытку “загнать эту тему в правовое русло” можно только приветствовать.

В самом министерстве от официальных комментариев отказались.

Эксперты отмечают: легитимизация “bug bounty” позволит распространить подобные программы и возможности тестирования для государственных систем. Однако в таком случае “белым хакерам”, скорее всего, придётся взаимодействовать с ФСБ и ФСТЭК России.

“На наш взгляд, законопроект должен в первую очередь формализовать процесс работы независимых исследователей с бизнесом и госструктурами, — комментирует новость для Anti-Malware.ru Евгений Волошин, директор блока экспертных сервисов BI.ZONE. — Большинство багхантеров готово исследовать бизнес, но тестирование госструктур вызывает опасения”.

Законодательное регулирование bug bounty легализует работу с государственными организациями, обеспечит прозрачность и безопасность процесса для всех участников. Государству такие инициативы пойдут на пользу: повысят уровень доверия со стороны исследователей и кибербезопасности.

“Мы всегда открыты к диалогу по законопроектам в сфере IT и готовы принять активное участие, — продолжает Волошин. — Мы уверены, что услуги bug bounty будут развиваться и надеемся, что этот процесс станет прозрачным для всех игроков на рынке”.

Что касается Positive Technologies, в проекте The Standoff они используют “положение о конкурсах”. В нем описаны условия проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов.

Инициатива bug bounty предоставляет всем желающим возможность принять участие в поиске уязвимостей заданного типа. Поиск ведётся в продуктах или в инфраструктуре, выставленных заказчиком для теста. Объявления о таких программах обычно появляются на специальных площадках, которые становятся посредниками между хакерами-исследователями и заказчиком.

Напомним, эту тему мы обсуждали в мае на AM Live Bug Bounty - как белым хакерам заработать в России на поиске уязвимостей. Можно пересмотреть YouTube-трансляцию или почитать обзор эфира на сайте.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК «Солар» выпустила NGFW для ретейла, МСБ и филиалов корпораций

ГК «Солар» представила новую линейку межсетевых экранов Solar NGFW — решения с меньшей производительностью, рассчитанные на защиту филиалов, удалённых офисов и небольших сетей. Новинки — это ПАКи Solar NGFW S (до 10 Гбит/с) и Solar NGFW М (до 20 Гбит/с) — подойдут как для малого и среднего бизнеса, так и для крупных компаний с распределённой инфраструктурой.

По данным самой компании, 56% российских организаций используют NGFW для защиты периметра, а 72% из них — это региональные заказчики и филиалы с типичной нагрузкой до 6 Гбит/с.

При этом стандартные решения с высокой производительностью (например, на 100 Гбит/с) для таких сценариев часто оказываются избыточными. Новые модели как раз закрывают этот сегмент.

По задумке, компактные NGFW от «Солара» могут применяться в разных отраслях. Например:

  • телеком-операторы — для защиты границ сетей в каждом филиале;
  • ретейл — для касс самообслуживания и других точек взаимодействия с клиентами;
  • добывающие и нефтегазовые компании — для защиты сетей на скважинах, станциях и перерабатывающих объектах.

Решения обеспечивают базовую фильтрацию трафика, контроль доступа, мониторинг, обнаружение угроз и защиту от атак. При этом важна не только производительность, но и устойчивость к сбоям и отказам.

Отдельно в компании подчёркивают рост атак в 2024 году: по данным Solar JSOC, доля сетевых атак удвоилась — с 14% до 27% от всех подтверждённых инцидентов. Это тоже подтолкнуло разработку решений для распределённых систем с невысокой нагрузкой.

Новые NGFW продолжают линейку продуктов, которую «Солар» активно обновляет: в 2025 году уже вышли версии 1.5 и 1.6. Среди ключевых изменений — централизованное управление, интеграции через API, автоматическое обновление сигнатур и более 26 тысяч встроенных сигнатур от центра Solar 4RAYS.

Весь стек Solar NGFW представлен как в виде виртуального решения, так и в виде ПАКов (всего 5 моделей), имеет сертификацию ФСТЭК по 4-му уровню доверия и включён в реестр отечественного ПО. Сейчас с NGFW от «Солара» работают более 100 крупных компаний, включая представителей госсектора, телекомов, нефтегаза, энергетики и промышленности.

По оценкам компании «Б1», рынок сетевой безопасности в России уже составляет около 88 млрд рублей — это 42% всего рынка ИБ-продуктов. До 2030 года ожидается рост этого направления на 15% в год, в том числе за счёт постепенного ухода от иностранных NGFW в пользу отечественных решений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru