Легализовать нельзя забанить: запятая Госдумы убила багбаунти
NewsMakerВ 2022 обсуждали, в 2025 — похоронили: судьба закона о пентестерах.
Госдума отклонила законопроект о легализации деятельности «белых» хакеров . Решение было принято по итогам рассмотрения соответствующего заключения комитета по государственному строительству и законодательству.
Законопроект касался специалистов, которых компании нанимают для поиска уязвимостей в своих системах. Идея легализации такой деятельности обсуждается с 2022 года, когда Минцифры начала работу по введению в законодательство понятия bug bounty — системы вознаграждений за найденные уязвимости.
Комитет Госдумы указал, что проект, внесённый в 2023 году, не учитывает специфику работы с информацией в государственных органах. Такие процессы подпадают под законы о гостайне , информации и критической информационной инфраструктуре — включая сети и ИТ-системы в органах власти, энергетике, транспорте и финансах.
Кроме того, законопроект не сопровождался изменениями в других нормативных актах. В отзыве правительства сказано, что для правового признания деятельности «белых» хакеров нужно комплексное обновление законодательства, включая уголовное. Такие меры должны урегулировать порядок выявления уязвимостей и снизить сопутствующие риски. Однако соответствующие поправки пока не внесены.
Авторы законопроекта предлагали разрешить передачу информации об уязвимостях производителям программного обеспечения. Но, как подчеркнул комитет, если такие производители зарегистрированы в недружественных странах, это может представлять угрозу для национальной безопасности России.
В Минцифры заявили, что поддерживают идею комплексной легализации пентестеров. Сейчас министерство совместно с другими ведомствами разрабатывает предложения по определению требований и правил к процессу поиска уязвимостей, а также возможных санкций за их нарушение.
Один из авторов инициативы, депутат Антон Немкин, сообщил, что законопроект планируют внести повторно — уже в составе пакета документов о правовом статусе и правилах работы специалистов по тестированию на проникновение. По его словам, сейчас «белым» хакерам приходится получать множество разрешений от правообладателей, чтобы избежать претензий по авторскому праву и риска компенсационных исков.
Ранее, в марте 2025 года, сенатор Артем Шейкин предлагал ввести две формы багбаунти: закрытую — с ограниченным числом участников, и открытую — с неограниченным. Он также выступал за то, чтобы владельцы информационных систем, включая критическую инфраструктуру, размещали формы обратной связи для сообщений об уязвимостях. В качестве средства идентификации «белых» хакеров предлагалось использовать систему ЕСИА .
Госдума отклонила законопроект о легализации деятельности «белых» хакеров . Решение было принято по итогам рассмотрения соответствующего заключения комитета по государственному строительству и законодательству.
Законопроект касался специалистов, которых компании нанимают для поиска уязвимостей в своих системах. Идея легализации такой деятельности обсуждается с 2022 года, когда Минцифры начала работу по введению в законодательство понятия bug bounty — системы вознаграждений за найденные уязвимости.
Комитет Госдумы указал, что проект, внесённый в 2023 году, не учитывает специфику работы с информацией в государственных органах. Такие процессы подпадают под законы о гостайне , информации и критической информационной инфраструктуре — включая сети и ИТ-системы в органах власти, энергетике, транспорте и финансах.
Кроме того, законопроект не сопровождался изменениями в других нормативных актах. В отзыве правительства сказано, что для правового признания деятельности «белых» хакеров нужно комплексное обновление законодательства, включая уголовное. Такие меры должны урегулировать порядок выявления уязвимостей и снизить сопутствующие риски. Однако соответствующие поправки пока не внесены.
Авторы законопроекта предлагали разрешить передачу информации об уязвимостях производителям программного обеспечения. Но, как подчеркнул комитет, если такие производители зарегистрированы в недружественных странах, это может представлять угрозу для национальной безопасности России.
В Минцифры заявили, что поддерживают идею комплексной легализации пентестеров. Сейчас министерство совместно с другими ведомствами разрабатывает предложения по определению требований и правил к процессу поиска уязвимостей, а также возможных санкций за их нарушение.
Один из авторов инициативы, депутат Антон Немкин, сообщил, что законопроект планируют внести повторно — уже в составе пакета документов о правовом статусе и правилах работы специалистов по тестированию на проникновение. По его словам, сейчас «белым» хакерам приходится получать множество разрешений от правообладателей, чтобы избежать претензий по авторскому праву и риска компенсационных исков.
Ранее, в марте 2025 года, сенатор Артем Шейкин предлагал ввести две формы багбаунти: закрытую — с ограниченным числом участников, и открытую — с неограниченным. Он также выступал за то, чтобы владельцы информационных систем, включая критическую инфраструктуру, размещали формы обратной связи для сообщений об уязвимостях. В качестве средства идентификации «белых» хакеров предлагалось использовать систему ЕСИА .