ФСБ предложили поручить контроль за «белыми» хакерами: появится реестр исследователей, а о найденных уязвимостях придётся сообщать не только компаниям, но и силовикам.
ФСБ предложили поручить контроль за «белыми» хакерами
Фото: © RusPhotoBank
По данным РБК, законопроект вводит понятие «мероприятие по поиску уязвимостей» — оно объединит все виды исследований, включая bug bounty, пентесты и внутренние тесты компаний.
ФСБ, ФСТЭК и НКЦКИ смогут устанавливать обязательные правила: аккредитацию исследователей и компаний; порядок обработки данных об уязвимостях; требования к передаче найденных уязвимостей владельцам и государству. Работа вне аккредитованных площадок будет запрещена, а нарушение регламента передачи информации — приравнено к преступлению. Также рассматривается создание реестра «белых» хакеров.
В министерстве подтвердили, что обсуждают документ с отраслью и депутатами. Цель — «легализовать деятельность белых хакеров и исключить риски привлечения к ответственности», уточнили в ведомстве. Эксперты опасаются, что обязательная идентификация исследователей создаст угрозу их безопасности. Если данные из реестра утекут, белые хакеры станут мишенью для киберпреступников. Также существует риск ухода специалистов в «серую зону», ведь не все компании захотят передавать информацию об уязвимостях силовикам.