Отрасль кибербезопасности опасается, что правительственный пакет антифрод-мер (антифрод — меры против мошенничества) осложнит работу специалистов по поиску уязвимостей.
Как пишет «Коммерсант», одна из инициатив Минцифры расширяет ст. 15.3 закона «Об информации…», приравнивая распространение сведений о способах проведения кибератак к контенту, подлежащему ограничению наравне с призывами к беспорядкам и ложными сообщениями о терроризме. На рынке это трактуют как риск для «белых хакеров» — исследователей, которые по согласованию с компаниями ищут уязвимости за вознаграждение (формат Bug Bounty).
В Positive Technologies предупреждают: запретить доступ к описаниям атак — «как запретить токсикологам изучать действие ядов».
«Работа “белых хакеров” и раньше шла по тонкой грани, но в рамках Bug Bounty или договора проблем не было.Теперь у регуляторов появится инструмент блокировки и удаления профильной информации»,— говорит директор центра противодействия мошенничеству «Информзащиты» Павел Коваленко.
Бизнес-консультант Positive Technologies Алексей Лукацкий добавляет: формулировки снова создают правовую неопределённость, хотя параллельно обсуждается отдельный законопроект о «белых хакерах».
Новый пакет включает порядка двух десятков инициатив: передачу записей подозрительных звонков в единую систему, сбор «серых» номеров, лимит в 10 банковских карт на человека и др. Юристы видят риски именно для программ вознаграждаемого поиска уязвимостей.
«Bug Bounty находится в группе риска, эта сфера сейчас имеет большой потенциал развития, и такой законодательный аспект точно не в ее пользу»,— отмечает гендиректор Enterprise Legal Solutions Анна Барабаш.
Минцифры настаивает: цель — помешать киберпреступникам, а не мешать специалистам. «Бесконтрольное распространение информации об атаках несёт риски для систем государства и бизнеса»,— поясняют в ведомстве; ограничение такой информации — зона ответственности Роскомнадзора и Генпрокуратуры. В аппарате вице-премьера Дмитрия Григоренко добавляют, что правка создаст правовой барьер для злоумышленников и позволит оперативнее блокировать каналы распространения вредоносного софта.
Позднее Минцифры уточнило: запрет адресован не деятельности “белых хакеров”, а именно распространению способов атак.
Финальный эффект для рынка будет зависеть от буквального текста нормы и её применения: если под запрет попадут не только «мануалы» к атакам, но и аналитика, отчёты и PoC-исследования, это ударит по обмену знаниями в ИБ-сообществе. Если же регулятор чётко разведёт «нелегитимные инструкции» и ответственные публикации в рамках договоров и Bug Bounty, отрасль сможет продолжить практики «безопасного раскрытия» уязвимостей — и сохранит баланс между защитой и развитием компетенций, резюмируют собеседники «Коммерсанта».