МОСКВА, 29 июня. /ЭКСКЛЮЗИВ ТАСС/. Совет по развитию цифровой экономики при Совете Федерации рекомендует Минцифры РФ ускорить работу над законопроектом, который узаконит деятельность по поиску уязвимостей в программном обеспечении за вознаграждение и определит границы ответственности для так называемых белых хакеров. Такая рекомендация содержится в решении секции по технологическому суверенитету и информационной безопасности РФ, утвержденном накануне.
"Рекомендовать Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации активизировать работу по разработке законодательной инициативы, направленной на ввод в правовое поле деятельности по поиску уязвимостей в ПО за вознаграждение и определения границ ответственности специалистов по поиску уязвимостей", - говорится в документе, который имеется в распоряжении ТАСС.
Как рассказал ТАСС зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин, возглавляющий секцию по технологическому суверенитету и информационной безопасности РФ, идея о разработке законопроекта, который ввел бы понятие bug bounty (поиск уязвимостей в ПО за вознаграждение) в правовое поле публично обсуждается с лета 2022 года и его проработкой занимались в Минцифры. В законопроекте в частности идет речь о внесении изменений в статью 272 Уголовного кодекса (УК) РФ (неправомерный доступ к компьютерной информации). "Движение законопроекта осложнилось из-за позиции ряда ведомств, так как грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая", - пояснил сенатор.
По его словам, сейчас в УК РФ есть несколько статей, под которые может подпадать деятельность "белых" хакеров. "По мнению некоторых экспертов, проблематично делать примечания к действующим статьям УК и прописывать, что их действия не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции. Формально это все равно будет преступное деяние, и в случае спорных ситуаций правоохранительные органы будут давать оценку, является конкретное действие социально значимым или нет", - отметил Шейкин.
Легализация "белых" хакеров
При этом, подчеркнул парламентарий, законопроект направлен на легализацию и упрощение деятельности "белых" хакеров, "так как это позволит активизировать тех исследователей, которые опасаются каких-либо правовых последствий". "В то же время, существуют возможные положения законопроекта, которые могут помешать специалистам по поиску уязвимостей. Например, если в нем будут положения о создании какого-либо реестра "белых" хакеров, лицензировании физлиц, то это потребует от исследователей выйти из тени, к чему многие из них определенно не готовы", - указал зампред Совета по цифровизации.
Он рассказал, что по мнению членов секции по обеспечению технологического суверенитета и информационной безопасности РФ, законодательство о компьютерных преступлениях устарело, и они предлагают модернизировать подходы и методологию принятия решений. "В связи с этим, было выдвинуто предложение по определению нового вида деятельности по поиску уязвимостей в ПО за вознаграждение, а также предложение об определении границы ответственности специалистов по поиску уязвимостей на законных основаниях. А Минцифры было рекомендовано возобновить работу по разработке законодательной инициативы, направленной на ввод в правовое поле деятельности по поиску уязвимостей в ПО за вознаграждение и определения границ ответственности специалистов по поиску уязвимостей", - сказал Шейкин.
Он убежден, что регламентация деятельности специалистов по поиску уязвимостей "поможет им чувствовать, что они защищены в правовом плане и повысит их заинтересованность" в работе по этому направлению.