Атак на российские сайты и информационные системы, в том числе государственные, в последние три года стало кратно больше. Статистика компьютерных инцидентов по сравнению с 2020 годом выросла на 42% в 2021 году и на 15% в 2022-м, подсчитали в Совфеде.
- В связи с увеличением числа компьютерных инцидентов в России, деятельность по поиску уязвимостей и оценке защищенности информационных ресурсов становится все более актуальной как для коммерческих структур, так и для государственных, - подчеркнул зампред совета по развитию цифровой экономики при Совете Федерации Артем Шейкин, - Специалисты по поиску уязвимостей информационных ресурсов, называемые также «белые хакеры», «пентестеры», помогают выявить слабые места, ошибки в системах и устранить их до того, как ими мог бы воспользоваться злоумышленники, и тем самым предотвращают возникновение инцидентов информационной безопасности и связанных с ними убытков.
Между тем взлом программного кода, даже если он заказан разработчиком или владельцем, для взломщика может обернуться тюремным сроком. С точки зрения Уголовного кодекса любой хакер – преступник, а его исследование прочности программы или приложения – преступление в сфере компьютерной безопасности.
Из-за этого сами «белые хакеры» предпочитают свою деятельность лишний раз не афишировать.
Правда, в этом году Минцифры при помощи «белых хакеров» уже обнаружило 34 серьезных уязвимости платформы «Госуслуги», о чем было объявлено открыто. Однако законных оснований для поиска черных дыр и белых пятен в коде до сих пор нет.
- В действующем законодательстве полностью отсутствуют понятия «пентеста» и «Bug Bounty» («поиск уязвимостей». - Прим. "МК"), что вызывает опасения у специалистов по поиску уязвимостей в связи с риском неоднозначной правовой оценки их деятельности, - отметил Артем Шейкин, - Указанное обстоятельство не способствует увеличению количества профессионалов, готовых заниматься данным направлением.
Чтобы облегчить жизнь «белым хакерам», Артем Шейкин вместе с экспертами по информационной безопасности разработал законопроект, который призван легализовать деятельность по поиску уязвимостей цифровых ресурсов и установить за ней контроль со стороны государства.
По планам разработчиков проверки приложений на обороноспособность от атак хакеры смогут проводить как по заказу, так и в инициативном порядке. Если гении компьютерного взлома обнаружат уязвимость, о ней надо будет сообщить разработчику или владельцу ресурса, а также в ФСТЭК и ФСБ для публикации в базе данных угроз. Предполагается, что госсектор сможет привлекать «белых хакеров» для тестирования своих сайтов и приложений через процедуру госзакупок.