В России могут легализовать хакеров. Но только хороших

Созданием реестра белых хакеров и их сертификацией озаботились Совет Федерации, ФСБ, МВД и компании, занимающиеся информационной безопасностью. По крайней мере они снова обсуждают такую возможность.

Белых хакеров еще называют этичными. Это те же самые профи в кибербезопасности, но которые не взламывают IT-системы для кражи данных и шпионажа, а моделируют такие ситуации, проводят тесты на уязвимости и придумывают новые способы проверки. В отличие от обычных взломщиков, они находят баги по запросу бизнеса или государства и официально получают за это деньги.
Появились этичные хакеры в далеком 1974 году, когда впервые легально была взломана для проверки операционная система Multics ВВС США. В 1990-е такие взломы стали применять и в частных сетях. Первый сканер уязвимостей назывался Satan, его разработал исследователь Дэн Фармер.

Сейчас проекты по официальному поиску уязвимостей в IT-системах называются bug bounty. По данным Positive Technologis, большую часть российского рынка платформ багбаунти делят две площадки: Standoff 365 Bug Bounty и BI.ZONE Bug Bounty. Количество белых хакеров, подключенных к двум этим платформам, превышает 11 тыс. человек: более 8 тыс. на Standoff 365 и свыше 4 тыс. на BI.ZONE.
При этом за прошедший год количество исследователей на платформе Standoff 365 выросло с 1150 до более чем 8 тыс. человек. Наибольшие всплески пришлись на запуск новых программ VK и Минцифры. В 2023 году на платформе выросло число исследователей, которые регистрируют ИП. Причина проста, говорят эксперты: их вознаграждения за найденные уязвимости превышают ежегодный лимит годового заработка самозанятых в 2,4 млн рублей.
За время работы платформ вознаграждения первых пяти наиболее успешных багхантеров на Standoff 365 варьировались от 3 млн до 6,36 млн рублей, на BI.ZONE— от 678 тыс. до 4,64 млн рублей. Общая сумма выплат у BI.ZONE составила около 24 млн рублей, а у Standoff 365 — 54 млн. рублей.
Эксперты по безопасности отмечают, что в России уровень выплат уже сопоставим с суммами на зарубежных платформах. Например, максимальные вознаграждения на платформе HackerOne варьируются от $2 тыс. (Spotify) до $20 тыс. (PayPal). В то время как за нахождение на Standoff 365 уязвимостей в сервисах VK можно получить до 3,6 млн рублей, RuStore заплатит до 1,2 млн рублей, Минцифры — до 1 млн рублей, вознаграждение у Wildberries составит до 500 тыс. рублей (при получении полного доступа к личному кабинету тестового продавца), а «Тинькофф» выплатит до 400 тыс. рублей.

«В 2023 году мы увидели повышение интереса со стороны среднего бизнеса, — говорит руководитель направления багбаунти Standoff 365 Анатолий Иванов. — С большой долей вероятности это связано с ускоренной цифровизацией бизнеса. Значительным драйвером роста популярности багбаунти-платформ стало и внимание к ним на государственном уровне. Во-первых, следует отметить участие в багбаунти самого Минцифры. Например, с ноября 2023 года на платформе Standoff 365 можно протестировать защищенность 9 ресурсов и сервисов электронного правительства, в том числе «Госуслуг». Во-вторых, участие в багбаунти государственных органов стимулируется разработанным в Минцифры индексом цифровизации, который включает в качестве параметра и кибербезопасность: государственные информационные системы, которые участвуют в багбаунти и устраняют свои уязвимости, повышают свой индекс кибербезопасности».
Уже 16 тыс. этичных хакеров тестируют системы электронного правительства в РФ. Об этом в июне 2024 года сообщила пресс-служба депутата Госдумы Антона Немкина. По данным Минцифры, белые хакеры уже выявили 100 уязвимостей в государственных IT-системах.
По данным «Хабр.Карьеры», средняя ежемесячная зарплата такого специалиста в 2023 году составила 130 тыс. рублей. Джуниор-специалист может рассчитывать на зарплату от 77 тыс. рублей, мидл будет получать от 140 тыс., а синьор в среднем будет зарабатывать от 240 тыс. рублей.

Масштабы этого сегмента бизнеса уже не в первый раз заставляют государство задумываться о его регулировании.
Вопрос легализации деятельности белых хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести понятие bug bounty в правовое поле. Против выступали Генпрокуратура, МВД и Следственный комитет. Они считают, что легализация хакеров может упростить создание и использование вредоносного софта белыми хакерами по заданию заказчика.
12 декабря 2023 года в Госдуму был внесен на рассмотрение законопроект №509708-8 «О внесении изменений в статью 1280 части четвертой ГК РФ», предполагающий легализацию в РФ деятельности белых хакеров. Однако с тех пор его рассмотрение всё время переносилось. Отчасти это связано с недостаточной проработкой проекта. Проще говоря, у правительства нет необходимых инструментов, которые позволят проконтролировать работу легальных хакеров.
По мнению президента ГК InfoWatch, председателя правления АРПП «Отечественный софт» Натальи Касперской, легализация хакеров приведет к увеличению числа кибервзломов. Она считает, что такой риск не оправдан.
Сейчас тема законодательного регулирования их деятельности всплыла вновь, когда представителями хакерского сообщества встретились с Минцифры в рамках кибербез-хаба «Кибердом». Участники встречи отметили, что несмотря на то, что белые хакеры стремятся помочь разработчикам, существующее правовое регулирование представляет определенные риски для их деятельности. Это накладывает существенные ограничения на популяризацию профессии и в целом оказывает отрицательное влияние на потенциальную защищенность российских информационных систем в сложных геополитических условиях.
Тем не менее в сентябре комиссия РОЦИТ (общественная организация, объединяющая активных интернет-пользователей России) по облачным технологиям, хостингу и информационной безопасности проведет заседание, на котором будет представлен анализ международной практики регулирования деятельности белых хакеров и сформулирован четкий запрос на законодательные изменения от лица хакерского сообщества и российских багбаунти-платформ.