Введение понятия bug bounty в правовое поле может быть отложено.
Принятие законопроекта о «белых хакерах», предлагающего ввести понятие bug bounty в правовое поле и изменения в Уголовный кодекс, может быть отложено из-за недовольства ФСБ и ФСТЭК. Об этом пишет издание «Ведомости» со ссылкой на источники в компаниях по кибербезопасности и собеседников, знакомых с ходом обсуждения законопроекта.
Минцифры с лета 2022 года пытается ввести в правовое поле понятие bug bounty. По данным одного из собеседников из компании по кибербезопасности, законопроект предполагает внесение изменений в статью 272 Уголовного кодекса о неправомерном доступе к компьютерной информации. Максимальное наказание по этой статье составляет семь лет лишения свободы. Ответственность наступает, если незаконный доступ повлек за собой модификацию и копирование компьютерной информации.
Однако продвижение законопроекта в существующем виде приостановлено из-за позиции ФСБ и ФСТЭК. Согласно источнику из газеты, эти ведомства выступают против либерализации положений Уголовного кодекса и высказывали соответствующую позицию на одном из рабочих совещаниях по законопроекту.
Издание направило запросы в оба ведомства, в Минцифры от комментариев отказались.
Другой источник указывает, что позицию ФСБ и ФСТЭК выражали их сотрудники на рабочих совещаниях по законопроекту в Минцифры. Как утверждает один из собеседников, грань между уголовно наказуемыми действиями и легальными «очень зыбкая», а «менять УК никто не будет».
Издание также сообщает, что сейчас вознаграждения за поиск уязвимостей в информационных системах предлагаются тремя российскими компаниями: Positive Technologies, «Синклит» и BI.ZONE. Представитель Positive Technologies Артем Сычев подчеркнул, что законопроект позволит «активизировать тех исследователей, которые опасаются каких-либо правовых последствий», а компания участвует в его обсуждении.
Технический директор компании «Синклит» Лука Сафонов также выразил мнение, что хотя его компания не участвовала в обсуждении инициативы о «белых хакерах», законопроект, направленный на их регулирование, определенно необходим. Он отметил, что помимо уголовной статьи 272 УК, «белые хакеры» также могут столкнуться с наказанием по статье 273 УК («Создание, использование и распространение вредоносных компьютерных программ»). Сафонов считает, что инициатива может встретить противодействие силовых ведомств «в части возможной легализации компьютерных преступлений». По его словам, законопроект может не устроить и самих пентестеров — в случае, если потребует от исследователей выйти из тени, к чему многие из них определенно не готовы.
Адвокат Максим Маценко, руководитель уголовной практики Vinder Law Office, считает, что проблем с уязвимостью «белых хакеров» не существует. Он объясняет, что участие хакера в программе по поиску уязвимостей за деньги предполагает, что компании, участвующие в проекте, добровольно предоставляют свои сети для поиска уязвимостей, что полностью исключает уголовную ответственность при условии, что хакер не выходит за пределы своих прав.
Источник securitylab