Все в белом: Минцифры планирует узаконить bug bounty

Все в белом: Минцифры планирует узаконить bug bounty

Ведомство намерено легализовать программу выплат “белым” хакерам. Сейчас понятия “bug bounty” в российском законодательстве нет. “Этичные” хакеры могут попасть под уголовную статью за “неправомерный доступ к компьютерной информации”.

“Специалист одного из операторов связи в Обнинске решил помочь клиентам и просканировал их сеть на уязвимости. За это его задержали сотрудники ФСБ, и сейчас он проходит по делу за неправомерное воздействие на КИИ РФ”, — суть проблемы на живом примере объясняет бизнес-консультант по безопасности Алексей Лукацкий.

О планах Минцифры перевести “охоту за багами” в правовое поле сегодня “Ведомостям” рассказал источник одной из компаний по кибербезопасности.

Реформа легализует работу исследователей, которые за деньги тестируют информационные системы на уязвимости. Сейчас их действия могут трактоваться как “неправомерный доступ к компьютерной информации” и попадать под статью 272 УК РФ.

“Отсутствие понятия bug bounty на законодательном уровне создаёт проблему”, — продолжает Лукацкий. Специалист считает, что попытку “загнать эту тему в правовое русло” можно только приветствовать.

В самом министерстве от официальных комментариев отказались.

Эксперты отмечают: легитимизация “bug bounty” позволит распространить подобные программы и возможности тестирования для государственных систем. Однако в таком случае “белым хакерам”, скорее всего, придётся взаимодействовать с ФСБ и ФСТЭК России.

“На наш взгляд, законопроект должен в первую очередь формализовать процесс работы независимых исследователей с бизнесом и госструктурами, — комментирует новость для Anti-Malware.ru Евгений Волошин, директор блока экспертных сервисов BI.ZONE. — Большинство багхантеров готово исследовать бизнес, но тестирование госструктур вызывает опасения”.

Законодательное регулирование bug bounty легализует работу с государственными организациями, обеспечит прозрачность и безопасность процесса для всех участников. Государству такие инициативы пойдут на пользу: повысят уровень доверия со стороны исследователей и кибербезопасности.

“Мы всегда открыты к диалогу по законопроектам в сфере IT и готовы принять активное участие, — продолжает Волошин. — Мы уверены, что услуги bug bounty будут развиваться и надеемся, что этот процесс станет прозрачным для всех игроков на рынке”.

Что касается Positive Technologies, в проекте The Standoff они используют “положение о конкурсах”. В нем описаны условия проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов.

Инициатива bug bounty предоставляет всем желающим возможность принять участие в поиске уязвимостей заданного типа. Поиск ведётся в продуктах или в инфраструктуре, выставленных заказчиком для теста. Объявления о таких программах обычно появляются на специальных площадках, которые становятся посредниками между хакерами-исследователями и заказчиком.

Напомним, эту тему мы обсуждали в мае на AM Live Bug Bounty - как белым хакерам заработать в России на поиске уязвимостей. Можно пересмотреть YouTube-трансляцию или почитать обзор эфира на сайте.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сколково и Кибердом будут вместе поддерживать стартапы в сфере ИБ

Стартовавшая сегодня, 8 декабря, конференция Skolkovo CyberDay 2023 ознаменовалась примечательным событием: «Сколково» и Кибердом подписали соглашение о сотрудничестве, решив объединить усилия по поддержке отечественной ИБ-индустрии.

Партнеры будут поддерживать стартапы на ранних стадиях, заниматься поиском актуальных ниш и востребованных решений, чтобы ускорить процесс привлечения инвестиций в российский кибербез.

Соглашение также предусматривает продвижение российских компаний за рубежом. К таким мерам относятся организация участия в международных выставках, консалтинг, маркетинговая поддержка, проведение менторских и инвестиционных сессий, конференций и т. п.

В рамках соглашения будет создан независимый центр исследований и анализа тенденций в сфере ИБ / кибербеза. Консолидация данных поможет выявлять перспективные направления разработок, а также прогнозировать потребности заказчиков. Обучать команды, тестировать новые решения можно будет на полигоне Кибердома.

«Подписание соглашения о сотрудничестве между «Сколково» и Кибердомом — это шаг к построению масштабной сети участников рынка ИБ, — отметил Кирилл Каем, старший вице-президент по инновациям «Сколково». — Такое партнерство позволит нам интенсифицировать взаимодействие и сотрудничество специалистов отрасли для достижения необходимой сейчас скорости развития индустрии кибербезопасности».

В прошлом году Фонд «Сколково» с такой же целью вступил в партнерские с ГК «Солар» (на тот момент — «РТК-Солар»).

По данным Центра стратегических разработок (ЦСР), к концу 2022 года объем российского рынка кибербеза достиг 193,3 млрд рублей. Доля отечественных вендоров СЗИ составила 70%, а к 2027 году должна повыситься до 95%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru