Совет Федерации, ФСБ, МВД и компании, занимающиеся информационной безопасностью (ИБ), обсуждают возможность создания реестра белых хакеров и их сертификацию. Об этом «Ведомостям» рассказали три источника, близких к различным ИБ-компаниям. По их словам, вопрос обсуждался на закрытой встрече представителей ведомств в начале августа.
В IT-отрасли считают такую инициативу непроработанной, так как список ИБ-специалистов, которые занимаются исследованиями уязвимостей в компонентах критической инфраструктуры IT-систем, будет интересен злоумышленникам и спецслужбам других стран.
Возможность создания реестра белых хакеров и их сертификации прорабатывается в рамках законопроекта о белых хакерах, пояснил СМИ член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин.
По словам источников СМИ в одной из крупных ИБ-компаний, предложенные меры (реестр и сертификация) должны обезопасить работу программ поиска уязвимостей со значимыми объектами, в том числе с критической информационной инфраструктурой (КИИ). По словам эксперта, это позволит легализовать многие направления, связанные с наступательной и превентивной безопасностью и устранением серых зон, в которых находятся сейчас белые хакеры.
Эксперты считают, что у инициативы есть и слабые места, включая появление жёстких бюрократических требований к процедуре вступления в ряды белых хакеров для участия в программах bug bounty, которые отпугнут потенциальных участников такого проекта. В этом случае найденные уязвимости хакерам будет проще продавать злоумышленникам, а не получать за них официальные вознаграждения, которые могут быть намного меньше, чем платят за них на чёрном рынке.
Проблема в том, что государство сейчас ещё не обладает достаточным инструментарием для того, чтобы проконтролировать обязательное соблюдение правил подобной сертификации, и поэтому здесь вступают в силу инструменты рынка, пояснил СМИ руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. «Естественно, сообщество будет против предлагаемого регулирования, но если его участники захотят работать легально, то они будут сертифицироваться. Наличие сертификата может служить основанием для того, чтобы компании и частные лица принимали экспертизу таких хакеров», — пояснил Бедеров.
Идея непродуманная и приведёт только к тому, что никто не захочет всерьёз заниматься анализом защищённости КИИ и любых иных систем, если для этого надо будет находиться в каком-то реестре, считает консультант по безопасности Positive Technologies Алексей Лукацкий. «Более того, учитывая, что в России почти любой реестр рано или поздно утекает, это представляет серьёзную опасность для людей, в нем находящихся, так как против них не только могут быть введены персональные санкции США и других стран, но и их жизни будут подвергаться опасности. США уже демонстрировали свои возможности по экстрадиции российских IT- и ИБ-специалистов и предъявлению им обвинений», — считает Лукацкий.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.