Легализация «белых хакеров» в России

8 июля Государственная дума на своем заседании отклонила законопроект, призванный закрепить в России правовой статус «белых» хакеров. Такое решение последовало за рекомендацией комитета по государственному строительству и законодательству, который выявил недочеты в предложенном документе.

«Белые» хакеры — это специалисты по кибербезопасности, которых компании нанимают для выявления слабых мест в своих информационных системах. С лета 2022 года в России активно обсуждается возможность легализации их работы, особенно в контексте концепции bug bounty — системы, при которой эксперты ищут уязвимости в программном обеспечении и получают за это вознаграждение. Эту идею начало прорабатывать Министерство цифрового развития, связи и массовых коммуникаций (Минцифры).

Однако комитет Госдумы пришел к выводу, что законопроект, внесенный в 2023 году группой депутатов, не соответствует требованиям, связенным с обеспечением информационной безопасности государственных органов. Эта сфера регулируется законами о государственной тайне, защите информации и безопасности критической информационной инфраструктуры, включающей сети связи, а также системы государственных, транспортных, энергетических, финансовых и других ключевых организаций.

Ключевая причина отклонения проекта — отсутствие согласованных изменений в других законодательных актах. В отзыве правительства на законопроект подчеркивается, что легализация деятельности «белых» хакеров требует комплексного пересмотра законодательства, включая нормы уголовного права. Такие изменения должны четко регламентировать процесс поиска уязвимостей и минимизировать риски, связанные с этой деятельностью, но предложенные поправки пока не разработаны, указал комитет по госстроительству. Кроме того, законопроект предусматривал, что обнаруженные уязвимости можно сообщать правообладателям программного обеспечения. Это вызвало опасения: если правообладатель находится в стране, признанной недружественной, передача такой информации может поставить под угрозу национальную безопасность России.

Представитель Минцифры в беседе с РБК подчеркнул, что ведомство выступает за комплексный подход к легализации «белых» хакеров. Сейчас совместно с другими государственными органами разрабатываются предложения, которые определят правила проведения тестирований на уязвимости и установят ответственность за их нарушение.

Один из авторов законопроекта, член IT-комитета Госдумы Антон Немкин, сообщил РБК, что разработчики планируют доработать инициативу и внести ее заново в рамках пакета законопроектов. Эти документы будут регулировать правовой статус и деятельность пентестеров — специалистов, которые проводят тесты на проникновение (пентесты) в системы, сети и приложения, чтобы выявить их уязвимости.

Ранее, в октябре 2024 года, законопроект прошел первое чтение. Он предлагал внести поправки в статью 1280 части 4 Гражданского кодекса РФ, разрешая «белым» хакерам бесплатно искать уязвимости в программах и базах данных без согласия их правообладателя, если тот предоставил копию программы. При этом специалисты должны уведомлять правообладателя о найденных недостатках в течение пяти рабочих дней, если только его контактные данные удалось установить. Передача информации третьим лицам запрещена, за исключением случаев, когда найти правообладателя невозможно.

Как объяснял Антон Немкин, тестирование защищенности систем требует получения множества разрешений от правообладателей программ. Без таких разрешений «белые» хакеры рискуют нарушить авторские права и столкнуться с необходимостью выплачивать компенсацию.

Минцифры выступает за комплексный подход к легализации «белых» хакеров, сообщил РБК представитель ведомства. Сейчас совместно с другими государственными органами обсуждаются предложения, которые установят четкие требования к поиску уязвимостей в информационных системах и определят ответственность за нарушение этих правил.

Один из разработчиков отклоненного законопроекта, член IT-комитета Госдумы Антон Немкин, в разговоре с РБК отметил, что авторы намерены доработать и повторно внести инициативу. Она будет представлена в составе пакета законопроектов, которые закрепят правовой статус и правила работы пентестеров — специалистов по кибербезопасности, проводящих тестирование на проникновение (пентест) в системы, сети и приложения для выявления их слабых мест.

Законопроект о легализации «белых» хакеров прошел первое чтение в октябре 2024 года. Он вносит изменения в статью 1280 части 4 Гражданского кодекса РФ, позволяя таким специалистам бесплатно искать уязвимости в программах и базах данных без согласия их правообладателя, если тот предоставил копию своей программы. Согласно документу, «белые» хакеры обязаны уведомить правообладателя о выявленных недостатках в течение пяти рабочих дней с момента их обнаружения, за исключением случаев, когда найти контактные данные правообладателя не удалось. Передача информации об уязвимостях третьим лицам запрещена, если только установить правообладателя не представляется возможным.

Как ранее пояснял Антон Немкин, для проведения тестов на защищенность систем «белым» хакерам приходится запрашивать множество разрешений от правообладателей программного обеспечения. Без таких разрешений их действия могут быть расценены как нарушение авторских прав, что грозит специалистам обязанностью выплачивать компенсацию.

В марте 2025 года сенатор Артем Шейкин предложил два формата для легализации работы «белых» хакеров: закрытый, с участием ограниченного числа проверенных исследователей, и открытый, допускающий участие любого желающего. Он также выступил за то, чтобы операторы и владельцы информационных систем, включая объекты критической инфраструктуры, создали специальные формы для сообщений об уязвимостях. Кроме того, Шейкин предложил рассмотреть возможность использования Единой системы идентификации и аутентификации (ЕСИА), известной как «Госуслуги», для подтверждения личности «белых» хакеров.

Законопроект о легализации «белых» хакеров с самого начала вызвал оживленные дискуссии среди специалистов по кибербезопасности, отметил директор сервисного блока компании F6 Александр Соколов в беседе с РБК. По его словам, разработка подобных инициатив требует тщательной проработки и тесного взаимодействия с профессиональным сообществом. Ранее F6 указывала на риски, связанные с неконтролируемой деятельностью легализованных «белых» хакеров. Соколов пояснил, что такая активность может привести к сбоям в работе систем, утечке данных об уязвимостях к третьим лицам и другим негативным последствиям. Сегодня, когда компании работают с лицензированными ФСТЭК подрядчиками и заключают соглашения о неразглашении, эти риски удается минимизировать, подчеркнул эксперт. Отклонение законопроекта, по его мнению, свидетельствует о том, что опасения профессионалов были услышаны.

Эксперт группы практического анализа защищенности компании «Инфосистемы Джет» Дмитрий Курамин считает, что продолжать поиск уязвимостей после отклонения законопроекта возможно, но с серьезными ограничениями. Преимущество в этом вопросе имеют профессиональные компании, специализирующиеся на кибербезопасности. У них есть опытные исследователи и юристы, способные грамотно анализировать лицензионные соглашения программного обеспечения. Однако, как отметил Курамин, каждое исследование сопряжено с рисками, и без четкого правового регулирования сложно гарантировать безопасность и законность таких действий.

Курамин напомнил, что с 2022 года многие российские компании изменили подход к обработке уязвимостей, взаимодействуя преимущественно с ФСТЭК, особенно если речь идет о российском софте. Что касается зарубежных вендоров, информация об уязвимостях передается им только после ее публикации ФСТЭК в Банке данных угроз безопасности информации. По мнению эксперта, для эффективного и безопасного раскрытия уязвимостей в иностранном софте нужны более четкие правила взаимодействия, возможно, с участием государственных органов. Это может включать обязательную сертификацию программ и контроль за передачей данных об уязвимостях.

Менеджер по продуктам MD Audit (входит в ГК Softline) Кирилл Лёвкин подчеркивает важность формализации процессов: от регулирования допуска «белых» хакеров к объектам критической инфраструктуры и правил отчетности до четкого определения ответственности сторон. По его словам, работа «белых» хакеров уже доказала свою ценность: крупные компании регулярно получают от них отчеты об уязвимостях, что помогает предотвращать реальные кибератаки. Однако сегодня такие специалисты действуют в условиях правовой неопределенности. Лёвкин считает, что для безопасной и продуктивной работы необходим механизм, который признает добросовестный поиск уязвимостей, защищает исследователей от необоснованных преследований и создает легальные каналы передачи информации, включая взаимодействие с иностранными разработчиками.