Взломать сайты за государственные деньги: Минцифры ищет хакеров 

 

Напомним, что первый этап багбаунти проходил с февраля по май этого года. Более 8 тыс. человек проверяли на прочность Госуслуги и Единую систему идентификации и аутентификации. Было выявлено и устранено 37 уязвимостей, а общая сумма вознаграждений составила 1,95 млн рублей. 

 

Программа пройдёт на двух платформах. По окончании второго этапа Минцифры подведёт итоги и анонсирует новые условия: сроки, бюджет, системы для проверки.

 

Напомним, что Багбаунти — это публичная программа поиска уязвимостей за вознаграждение, которая позволяет привлечь независимых исследователей безопасности и сделать систему ещё более надёжной.

 

В 2022 году количество попыток взлома государственных ресурсов выросло на 80% по сравнению с 2021 годом. И именно поэтому, Минцифры предлагает багхантерам присоединиться к программе, чтобы отработать новые сценарии взлома и найти максимум уязвимостей в защите.

 

Отметим, что Минцифры предлагало ввести в законодательство понятие Багбаунти еще летом прошлого года, но эта идея не была реализована. Сейчас, свой вариант пакета законопроектов предложил комитет по информполитике Госдумы — инициативу обсудили с самими взломщиками и компаниями, которые могли бы стать заказчиками подобных услуг.

Багхантерами называют специалистов в области кибербезопасности, которые тестируют ИТ-системы государства или компаний, атакуя их так, как это бы делали реальные киберпреступники.

 

Отличие в том, что  багхантеры рассказывают о найденной дыре в безопасности самому владельцу системы, получая от него вознаграждение. 

В отличие от обычных специалистов в области кибербезопасности, которых нанимает сама компания, багхантеры действуют часто по собственному почину, что ставит их в уязвимое положение с точки зрения законодательства. Сейчас в УК РФ есть несколько статей, под которые может подпадать деятельность таких взломщиков. Например, за «неправомерный доступ к компьютерной информации» (272-я статья УК) грозит лишение свободы до пяти лет.

Поправки предлагается внести в Уголовный и Гражданский кодексы, а также в ФЗ «Об информации, информационных технологиях и о защите информации». В последнем закрепят возможность обладателя информации, оператора информационной системы проводить мероприятия по выявлению «слабых мест», в том числе с привлечением лиц, не являющихся его работниками.

Поправки в УК исключат возможные риски привлечения к уголовной ответственности тех, кто тестирует защищенность информсистем в соответствии с требованиями Закона об информации. А поправки в ГК дадут возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ, либо лицом, действующим по его поручению, в целях выявления его уязвимостей для исправления явных ошибок.

 

Еще один вариант, который ранее обсуждался в Совете Федерации, — прописать новый вид деятельности по поиску уязвимостей в ПО за вознаграждение, а также создать реестр «белых хакеров» и лицензирование физлиц.