Все в белом: Минцифры планирует узаконить bug bounty

Все в белом: Минцифры планирует узаконить bug bounty

Все в белом: Минцифры планирует узаконить bug bounty

Ведомство намерено легализовать программу выплат “белым” хакерам. Сейчас понятия “bug bounty” в российском законодательстве нет. “Этичные” хакеры могут попасть под уголовную статью за “неправомерный доступ к компьютерной информации”.

“Специалист одного из операторов связи в Обнинске решил помочь клиентам и просканировал их сеть на уязвимости. За это его задержали сотрудники ФСБ, и сейчас он проходит по делу за неправомерное воздействие на КИИ РФ”, — суть проблемы на живом примере объясняет бизнес-консультант по безопасности Алексей Лукацкий.

О планах Минцифры перевести “охоту за багами” в правовое поле сегодня “Ведомостям” рассказал источник одной из компаний по кибербезопасности.

Реформа легализует работу исследователей, которые за деньги тестируют информационные системы на уязвимости. Сейчас их действия могут трактоваться как “неправомерный доступ к компьютерной информации” и попадать под статью 272 УК РФ.

“Отсутствие понятия bug bounty на законодательном уровне создаёт проблему”, — продолжает Лукацкий. Специалист считает, что попытку “загнать эту тему в правовое русло” можно только приветствовать.

В самом министерстве от официальных комментариев отказались.

Эксперты отмечают: легитимизация “bug bounty” позволит распространить подобные программы и возможности тестирования для государственных систем. Однако в таком случае “белым хакерам”, скорее всего, придётся взаимодействовать с ФСБ и ФСТЭК России.

“На наш взгляд, законопроект должен в первую очередь формализовать процесс работы независимых исследователей с бизнесом и госструктурами, — комментирует новость для Anti-Malware.ru Евгений Волошин, директор блока экспертных сервисов BI.ZONE. — Большинство багхантеров готово исследовать бизнес, но тестирование госструктур вызывает опасения”.

Законодательное регулирование bug bounty легализует работу с государственными организациями, обеспечит прозрачность и безопасность процесса для всех участников. Государству такие инициативы пойдут на пользу: повысят уровень доверия со стороны исследователей и кибербезопасности.

“Мы всегда открыты к диалогу по законопроектам в сфере IT и готовы принять активное участие, — продолжает Волошин. — Мы уверены, что услуги bug bounty будут развиваться и надеемся, что этот процесс станет прозрачным для всех игроков на рынке”.

Что касается Positive Technologies, в проекте The Standoff они используют “положение о конкурсах”. В нем описаны условия проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов.

Инициатива bug bounty предоставляет всем желающим возможность принять участие в поиске уязвимостей заданного типа. Поиск ведётся в продуктах или в инфраструктуре, выставленных заказчиком для теста. Объявления о таких программах обычно появляются на специальных площадках, которые становятся посредниками между хакерами-исследователями и заказчиком.

Напомним, эту тему мы обсуждали в мае на AM Live Bug Bounty - как белым хакерам заработать в России на поиске уязвимостей. Можно пересмотреть YouTube-трансляцию или почитать обзор эфира на сайте.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники крадут Google и Telegram-аккаунты через поддельный Zoom

Эксперты зафиксировали новый сценарий атак, нацеленных на предпринимателей и менеджеров. Злоумышленники выходят на потенциальных жертв в Telegram, представляясь клиентами, и предлагают обсудить сотрудничество в Zoom.

Вместо настоящего приглашения они присылают поддельную ссылку, которая ведёт на фишинговый ресурс. Пользователь сначала проходит несколько капч, а затем попадает на страницу входа в Google-аккаунт.

После ввода логина и пароля у жертвы дополнительно запрашивают код подтверждения. Именно этот код нужен атакующим, чтобы перехватить доступ ещё и к Telegram.

Чтобы ускорить процесс и не дать жертве времени на сомнения, мошенники могут параллельно писать или звонить, торопя с вводом данных.

Получив доступ к Google-аккаунту, они проверяют, есть ли привязанные криптокошельки или биржевые сервисы, и могут использовать учётку для поиска конфиденциальной информации или доступа к банковским ресурсам.

По словам специалистов, в этой схеме ничего принципиально нового нет — это классическая комбинация общения в мессенджере и фишинговой ссылки. Но легенда с «бизнес-версией Zoom» и дополнительное давление на жертву делают атаку убедительнее.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru