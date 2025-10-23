СМИ со ссылкой на собственные источники сообщают, что в работе находится новая версия законопроекта о легализации белых хакеров. Совет Федерации, ФСБ, МВД и ИБ-компании обсуждают возможность создания реестра белых хакеров и их сертификацию. Работу специалистов будут регулировать силовые ведомства, включая ФСБ.

Как сообщает РБК, инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей. В новой версии законопроекта вводится понятие «мероприятие по поиску уязвимостей», которое может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение.

Согласно документу, под это определение могут попасть:

коммерческие программы bug bounty;

внутренние bug bounty где компании силами собственных сотрудников ищут уязвимости в своей инфраструктуре;

любые независимые исследования: действия одиночных исследователей, которые без приглашения проверяют ПО на уязвимости;

пентесты, которые проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании-клиента и компании, предоставляющей услуги исследователей.

Источники издания говорят, что регулирование всех «мероприятий по поиску уязвимостей» планируется полностью передать силовому блоку: Федеральной службе безопасности (ФСБ), Федеральной службе по техническому и экспортному контролю (ФСТЭК), а также Национальному координационному центру по компьютерным инцидентам (НКЦКИ).

Они могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей вне зависимости от того, коммерческие это программы, для внутреннего пользования или программы, касающиеся критически важного бизнеса либо госструктур.

Речь идет как об обязательной идентификации и верификации white-hat’ов, так и о правилах аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей; правилах, регулирующих обработку и защиту данных о найденных уязвимостях; регламенте, как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и так далее.

Списки операторов, которые соответствуют требованиям, будут публиковаться на сайтах силовых ведомств, а работа вне аккредитованных площадок, а также работа не соответствующих правилам компаний будет запрещена.

Кроме того, предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», не соответствующая установленным правилам, будет квалифицироваться как преступление.

Также обсуждается создание реестра белых хакеров.

Представитель Минцифры сообщил СМИ, что «министерство находится в диалоге с отраслью и коллегами из Госдумы по данному законопроекту», отметив, что к ним не поступало предложений по созданию реестра белых хакеров.

«Проектируемые изменения предусматривают “легализацию” деятельности белых хакеров, что исключает возможные негативные последствия при осуществлении ими своей деятельности. До принятия закона и подписания его президентом документ может меняться с учетом предложений отрасли и заинтересованных ведомств», — говорят в Минцифры.

Вопрос легализации bug bounty и деятельности белых хакеров России обсуждается с 2022 года. Так, в феврале 2023 года бывший глава комитета Госдумы по информационной политике Александр Хинштейн предложил освободить белых хакеров от ответственности, однако ФСБ и ФСТЭК выступили против. Позже Генпрокуратура, МВД и СК также отклонили поправки, опасаясь, что злоумышленники будут прикрываться договорами на тестирование.

В декабре 2023 года внесли законопроект, разрешающий исследователям искать уязвимости без согласия правообладателя при условии сообщения о находках в течение пяти рабочих дней. Документ приняли в первом чтении в октябре 2024 года, но летом 2025 года Госдума отклонила его, так как проект не учитывал особенности информационного обеспечения работы госорганов.

Некоторые из опрошенных изданием участников рынка указали на риски обсуждаемых идей. Наиболее критичной они называют идею реестра белых хакеров. Так, проджект-менеджер MD Audit (входит в ГК Softline) Кирилл Левкин предупредил, что обязательная идентификация ИБ-исследователей создает угрозу для их безопасности и приватности, особенно если произойдет утечка данных.

«Белые хакеры нередко становятся мишенью со стороны киберпреступников, особенно в случаях, когда они публично раскрывают опасные уязвимости. Кроме того, деанонимизация может снизить количество участников bug bounty-программ, ведь многие специалисты работают под псевдонимами не из желания скрыться, а для минимизации личных рисков», — говорит Левкин.

Представитель неназванной российской платформы bug bounty подчеркнул необходимость разграничения: «Коммерческое bug bounty должно развиваться по рыночным механизмам. Bug bounty для госресурсов и критической инфраструктуры должно регулироваться по всем правилам, так как есть критические риски госуровня».