Поделиться
В России может появиться реестр "белых" хакеров
В России обсуждается возможность формирования реестра так называемых "белых", или этичных, хакеров. Эту информацию, появившуюся в СМИ, "РГ" подтвердили сразу несколько собеседников в компаниях, занимающихся кибербезопасностью.
Необходимость существования этичного хакинга объясняется тем, что есть очевидная необходимость защиты ключевых государственных систем и сервисов от внешних атак. В 2023 году их число выросло беспрецедентно - на 65% по сравнению с предыдущим годом.
Проблема в том, что сегодня не урегулировано взаимодействие таких специалистов с компаниями после обнаружения уязвимостей, отмечает член комитета Госдумы по информполитике Антон Немкин. В 2023 году он вместе с группой депутатов внес в Госдуму законопроект, предполагающий урегулирование этой сферы в рамках ст. 1280 ГК РФ и снимающий ряд ключевых вопросов, однако пока документ не был рассмотрен.
Необходимость легализации "белых" хакеров вызвана ростом атак на IT-инфраструктуру, в том числе ключевых государственных систем и сервисов
"Найти необходимый канал связи, как правило, не удается как в государственных, так и в частных организациях. У одного из "белых" хакеров, как я знаю, связаться с определенной госорганизацией не выходило более десяти лет, и получилось это сделать совершенно случайно. Другая проблема состоит в отсутствии необходимой реакции со стороны компаний на сообщения об уязвимостях, обнаруженных "белыми" хакерами", - пояснил Немкин "РГ".
По его словам, только часть организаций полностью устраняет уязвимости после получения информации о них, в то время как остальные живут с этими уязвимостями до наступления инцидента. Причем компании, устранившие уязвимости, нередко перестают взаимодействовать с хакерами несмотря на то, что могли бы и в дальнейшем получать от них сообщения об уязвимостях.
Решением могло бы стать создание в России платформы, на которой происходило бы взаимодействие хакеров и компаний. "Эта система должна проводить их верификацию, определять надежность и, если они прошли через эти процедуры, давать возможность размещать сообщения об обнаруженных уязвимостях", - говорит Немкин.
При этом опрошенные "РГ" эксперты сомневаются, что формирование реестра хакеров, сотрудничающих с госкомпаниями и компаниями, относящимися к критической инфраструктуре, целесообразно.
"Инициатива мне пока неясна. Не могу найти системную выгоду от такого реестра. Но, возможно, мы чуть позже увидим какие-то детали, и тогда станет яснее", - полагает экс-директор департамента кибербезопасности минцифры, директор по продуктовому развитию "Солар" Владимир Бенгин.
Кроме того, отмечают собеседники, сбор такой информации в одном источнике может сформировать значимый трофей для хакеров из недружественных и откровенно враждебных стран, а утечка информации о "белых" хакерах поставит под угрозу безопасность их и их близких.
