Сертификат на взлом: хакерам предложат выйти из подполья в России

Безопасный VPN через Телеграмм – обойди все блокировки:

Новый реестр может стать мишенью для геополитических противников.

Совет Федерации, ФСБ, МВД и компании, занимающиеся информационной безопасностью (ИБ), обсуждают возможность создания реестра белых хакеров и их сертификацию. Об этом «Ведомостям» рассказали три источника, близких к различным ИБ-компаниям. По их сведениям, вопрос обсуждался на закрытой встрече представителей ведомств в начале августа.

Член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин подтвердил, что данный вопрос прорабатывается в рамках законопроекта о белых хакерах. В сентябре ожидается подписание решения секции совета по развитию цифровой экономики при Совете Федерации по этой теме.

Легализация деятельности белых хакеров, проверяющих надежность ИБ-защиты корпоративных и государственных IT-систем, обсуждается с лета 2022 года. Тогда Минцифры начало прорабатывать возможность введения понятия bug bounty в правовое поле. Предполагалось внести изменения в закон «Об информации, информационных технологиях и о защите информации» и статью 272 УК РФ «Неправомерный доступ к компьютерной информации».

Однако в 2023 году ряд силовых ведомств выступил против легализации белого хакерства. Опасения силовых ведомств вызывало то, что в случае принятия поправок хакеры-злоумышленники начнут предъявлять документы о заключении договора на тестирование информсистемы, чтобы доказать свою невиновность. Наказать же их в этом случае будет сложно.

Купи VPN в России за минуту через наш Телеграмм-бот:

В декабре 2023 года в Госдуму была внесена версия законопроекта, разработанная группой депутатов. Проект вносил изменения в Гражданский кодекс РФ, вводя понятия «белый хакер» и bug bounty, а также определял сроки уведомления компании в случае обнаружения уязвимости. Однако законопроект пока не дошел даже до первого чтения в Госдуме.

  Велосипеды теперь можно взломать

В настоящее время тесты инфраструктуры на уязвимость проводятся по договору с заказчиком или в рамках программы bug bounty, правила которой прописаны в публичной оферте. Такие программы есть у ряда крупных IT- и ИБ-компаний. Например, в 2023 году было проведено тестирование «Госуслуг», в ходе которого обнаружено 34 уязвимости, большинство из которых – со средним и низким уровнем критичности. Максимальная выплата за найденную ошибку составила 350 000 рублей.

Источник «Ведомостей» в одной из крупных ИБ-компаний отмечает, что предложенные меры по созданию реестра и сертификации должны обезопасить работу bug bounty со значимыми объектами, включая критическую информационную инфраструктуру (КИИ). По его мнению, это позволит легализовать многие направления, связанные с наступательной и превентивной безопасностью, а также устранить серые зоны, в которых сейчас находятся белые хакеры.

Однако собеседник указывает на слабые места инициативы. В текущей геополитической ситуации публично доступный реестр белых хакеров может стать важным источником информации для противника. Кроме того, жесткие бюрократические требования к процедуре вступления в ряды белых хакеров для участия в программах bug bounty могут отпугнуть потенциальных участников. Существует опасение, что в таком случае найденные уязвимости хакеры будут продавать не компаниям за вознаграждение, а злоумышленникам.

Эксперты также отмечают, что государство пока не обладает достаточным инструментарием для контроля за соблюдением правил сертификации. По их мнению, здесь вступают в силу инструменты рынка. Специалисты предполагают, что сообщество будет против предлагаемого регулирования, но те, кто захочет работать легально, будут проходить сертификацию. Наличие сертификата может стать основанием для принятия экспертизы таких хакеров компаниями и частными лицам.

Другие эксперты считают идею непродуманной. По их мнению, это приведет к тому, что никто не захочет серьезно заниматься анализом защищенности КИИ и других систем, если для этого потребуется находиться в реестре. Они также выражают обеспокоенность тем, что в России реестры часто становятся объектом утечек, что может представлять серьезную опасность для людей, находящихся в них. Существуют опасения, что против таких специалистов могут быть введены персональные санкции США и других стран, а их жизни могут подвергаться опасности.

  Убийца Windows: CVE-2024-38106 даёт хакерам доступ прямо к ядру системы

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх