Группа депутатов от «Единой России» и «Новых людей» подготовила законопроект о легализации «белых» хакеров в России, его в ближайшее время внесут в Госдуму, узнали «Известия». Согласно пояснительной записке, которая есть в распоряжении редакции, компании смогут проводить мероприятия по выявлению слабых мест информационных систем с привлечением «белых» хакеров на их условиях.
«Подобные испытания проводятся как в форме тестирования на проникновение, при котором заказчик поручает определенному исполнителю отработать различные сценарии проникновения в информационную систему и продемонстрировать практическую возможность реализации в ней определенных угроз информационной безопасности», — говорится в пояснительной записке.
Также они могут быть реализованы в форме программы Bug Bounty, когда заказчик предлагает провести такую работу сторонним специалистам.
По словам одного из авторов, депутата Антона Немкина, принятие законопроекта позволит закрепить механизм проведения мероприятий по выявлению слабых мест в системе безопасности, которые могут использовать злоумышленники в противоправных целях.
Ранее «Яндекс» сообщал, что в прошлом году этичным хакерам выплатил 70 млн рублей — почти вдвое больше, чем годом ранее. В 2023 году в программе «Охота за ошибками» поучаствовали 528 исследователей. Они прислали 736 отчетов об ошибках, которые соответствовали правилам программы. За 378 уникальных и впервые выявленных находок исследователи получили выплаты. Все критичные ошибки были исправлены.
В 2023 году VK продолжила развивать программу по поиску уязвимостей Bug Bounty. Общая сумма выплат исследователям безопасности достигла более 34 млн рублей, а максимальная выплата составила почти 2,5 млн рублей. Всего компания обработала более 1,5 тыс. отчетов, а также добавила в программу три новых сервиса — Skillfactory, умная колонка «VK Капсула» и VK Customer Experience Hub.
Подробнее читайте в эксклюзивном материале «Известий»:
Взломать и строить: власти намерены уже весной легализовать деятельность «белых» хакеров
И без всяких специальных законов, компании нанимают хакеров для пентестов и в свои программы bug bounty в рамках стандартных гражданских договорных правоотношений. Что за проблемы такие законодатели решают?