В России планируют законодательно урегулировать деятельность «белых хакеров». Соответствующий пакет законопроектов депутатами и сенаторами будет внесен в Госдуму. Парламентарии считают, что эти меры поспособствуют укреплению доверия между специалистами по кибербезопасности и владельцами информационных ресурсов, а также поддержат цифровой суверенитет страны. В материале «Известий» разбираются, можно ли полагаться на «белых хакеров» при выявлении уязвимостей.

По букве закона

В Госдуму собираются внести комплекс законопроектов для регулирования деятельности «белых хакеров». Об этом сообщил Антон Немкин, член комитета ГД по информационной политике, информационным технологиям и связи.

«Готовится к внесению в Госдуму новый пакет законопроектов, регулирующих деятельность специалистов по выявлению уязвимостей в информационных системах», — отметил Немкин, добавив, что поправки создавались при активном участии экспертов.

По его словам, предложенные меры призваны обеспечить правовые условия для развития этичного хакерства, повысить доверие между специалистами и владельцами информационных ресурсов, а также укрепить цифровой суверенитет России.

Для реализации этой инициативы подготовлено три законопроекта, которые при одобрении могут вступить в силу 1 марта 2026 года.

Первый законопроект вносит изменения в Гражданский кодекс РФ, предоставляя пользователям право проверять программы и базы данных на уязвимости без согласия правообладателя при условии, что это делается для повышения безопасности и без распространения информации.

«Такой подход снижает риск уголовного или гражданского преследования специалистов, действующих в интересах кибербезопасности», — пояснил Немкин.

Второй документ вносит корректировки в федеральный закон «Об информации, информационных технологиях и защите информации», устанавливая порядок выявления уязвимостей, включая правила привлечения исполнителей, требования к платформам для тестирования и взаимодействие с уполномоченными органами. По мнению Немкина, это создаст легальную основу для безопасного сотрудничества владельцев ресурсов и исследователей.

Третий законопроект затрагивает Уголовный и Уголовно-процессуальный кодексы РФ, устанавливая ответственность за неправомерную передачу информации об уязвимостях, выявленных при тестировании. Это направлено на защиту критической инфраструктуры и предотвращение злоупотреблений с возможным наказанием вплоть до лишения свободы.

Немкин считает, что такие изменения создадут системный правовой механизм для ответственного выявления уязвимостей и защитят государственные и частные системы от злонамеренных действий.

«Очень важно легализовать деятельность «белых хакеров», обеспечить условия для сотрудничества между исследователями и бизнесом, одновременно гарантируя безопасность критических данных. Это ключевой шаг к формированию зрелой киберэкосистемы в России», — заключил депутат.

Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) также участвует в обсуждении этих законопроектов с отраслью и другими ведомствами, сообщили «Известиям» в пресс-службе министерства.

— Министерство считает важным установить в отраслевом законодательстве требования и правила для специалистов, занимающихся поиском уязвимостей. Это позволит чётко понимать, кто представляет собой «белого хакера», — отметили в Минцифры.

Ведомство допускает возможные изменения в документах после учета предложений отрасли и заинтересованных структур.

Обеление деятельности

Активное развитие цифровых технологий сопровождается увеличением сложности цифровых продуктов, и с этим увеличивается количество строк кода и данных, отмечает эксперт в области информационной безопасности и vCISO UserGate Дмитрий Овчинников. Несмотря на тестирование ПО на всех этапах, уязвимости всё равно могут оставаться незамеченными.

— «Белые хакеры» и специалисты по багхантигу способны выявить такие уязвимые места, которые не обнаружатся при стандартных тестах или проверками разработчиков. Хакеры умеют выявлять и использовать уязвимости, это их профессия и источник дохода, поэтому их вклад в повышение безопасности существенен, — отметил он в интервью «Известиям».

По словам эксперта, реальные аудиты защищенности играют важную роль в повышении общей киберустойчивости.

— Поиск проблемных мест, неверных конфигураций и уязвимых протоколов — это то, чего могут добиться «белые хакеры» для повышения безопасности объектов. Даже при использовании проверенного ПО и ОС ошибки при настройке могут привести к инцидентам, — добавил специалист.

Руководитель отдела системного администрирования IT-компании Simpl Group Константин Ильиных сравнивает работу «белых хакеров» с рыбалкой — они запускают автоматизированный поиск и анализируют результаты.

— Практически «белые хакеры» берут пул IP-адресов и просматривают их на уязвимости, пытаются получить доступ и проверяют, удаётся ли им это сделать, — пояснил он.

Сегодня специалисты работают как штатно в компаниях, так и как независимые исследователи в рамках программ багбаунти, напоминает Овчинников.

Технический директор Р7 Олег Жигалов подтверждает, что «белые хакеры» действуют как сотрудники организаций или подрядчики, а их основная задача — контролируемое тестирование систем безопасности по согласованному плану и договору.

— Такой подход уже сейчас выводит деятельность «белых хакеров» из серой зоны, создавая правовые рамки и защищая специалистов от незаконных действий, — объяснил эксперт.

Программы багбаунти имеют чёткую область применения и прозрачную систему вознаграждений, дополнил Овчинников.

Любая работа вне установленных правил, даже исследовательский взлом без разрешения владельца, является нарушением закона и влечет уголовную или административную ответственность, предупредил он.

Страх наказания за взлом системы — главная опасение «белых хакеров», убежден Ильиных.

— Где проходит грань преступления? Взлом имел место, но кражи не было. Важно понять, куда сообщать об обнаруженных проблемах, чтобы деятельность оставалась безопасной и законной, — рассуждает специалист.

Со всей ответственностью

Деятельность «белых хакеров» сегодня стала не просто важной, а обязательной частью кибербезопасности, уверен ведущий инженер компании «Газинформсервис» Иван Рябов. Современные решения защиты информации не способны гарантировать полную безопасность.

— Работа «белых хакеров» помогает компаниям поддерживать высокий уровень безопасности и сохранять доверие клиентов, что предотвращает финансовые потери, — подчеркнул собеседник «Известий».

Константин Ильиных считает, что с увеличением числа проверяющих растет количество обнаруживаемых уязвимостей и их закрытия.

— Они выявляют дыры в самых неожиданных местах, усиливая общую защиту. Для этичного и регламентированного процесса нужен набор правил — своего рода профессиональный кодекс, — утверждает эксперт.

Такой кодекс должен определять, кто и каким образом может исследовать инфраструктуру, как фиксировать обнаруженные проблемы и куда уведомлять, чтобы избежать уголовных последствий для исследователей, перечисляет специалист.

Можно также учредить специализированный орган, который проверял бы сообщения об уязвимостях и подтверждал добросовестность обнаружения, предлагает Ильиных. Важны при этом формальные процедуры найма и аккредитации хакеров.

Для «белых хакеров» крайне важно понимать четкие границы поиска уязвимостей, отмечает Дмитрий Овчинников.

— Эти границы должны быть определены в багбаунти-программе или договоре на аудит, — уверен он.

Олег Жигалов выделяет три ключевых момента в законодательном регулировании: четкое разграничение разрешенных и запрещенных действий, обязательное согласие владельца IT-продукта на проверку и установление порядка действий при обнаружении критических уязвимостей.

Рябов подчеркивает необходимость сохранения правовой определенности для всех участников процесса и наличия процедуры раскрытия уязвимостей, которая защитит исследователей от юридической ответственности при соблюдении правил.

Ставка на репутацию

С Олегом Жигаловым согласны, что у работы с «белыми хакерами» есть определенные риски, главным из которых является возможное влияние на рабочие бизнес-процессы. Введение строгой регламентации деятельности исследователей, по его мнению, поможет минимизировать эти риски.

Иван Рябов приведет программы багбаунти как пример потенциальных угроз.

— Чтобы снизить риски, компании обычно начинают не с публичных, а с закрытых багбаунти-программ, приглашая к участию только проверенных «белых хакеров» с хорошей репутацией, — отметил он.

Мотивация восхищается как еще один риск, уверен Ильиных.

— Важно понять, пришел ли человек для помощи или чтобы собрать данные и использовать их в своих целях. Нельзя полностью полагаться на NDA и другие формальные соглашения — нужен контроль времени, проверка доступа и постепенное завоевание доверия, — объяснил он.

Кроме того, серьезной угрозой является возможность утечки информации или дезинформации, например, подмена баз данных, добавил эксперт.

— Поэтому при найме «белых хакеров» требуется тщательный кадровый отбор, проверка репутации и аккуратное управление полномочиями, — подытожил Ильиных.