“Ъ” ознакомился с проектом федерального закона, который направлен на масштабирование проведения Bug Bounty в России. Законопроект «О деятельности по поиску уязвимостей…» разработан в Совете по развитию цифровой экономики при Совете федерации совместно с участниками рынка кибербезопасности и предполагает изменения в три ФЗ - «О безопасности критической информационной инфраструктуры», «О лицензировании отдельных видов деятельности» и «Об информации, информтехнологиях и о защите информации».
Один из авторов инициативы, сенатор Артем Шейкин, сообщил “Ъ”, что законопроект будет внесен после получения отзыва правительства, куда он будет направлен по результатам доработки и обсуждения с ведомствами и отраслью.
Предлагается обязать компании, относящиеся к КИИ (банки, промышленность, телеком и т. д.), проводить Bug Bounty. Кроме того, они закрепляют ответственность участников тестирований - операторов платформ, владельцев информсистем,- которые будут выходить на Bug Bounty, и самих тестировщиков. Также устанавливаются требования к платформам и критерии для отбора операторов. Размер их уставного капитала должен составлять не менее 100 тыс. руб., а сам оператор должен иметь «гарантийный фонд» в размере не менее 5% от уставного капитала.
В проекте говорится, что владельцы IT-инфраструктуры (ПО, ПАК, телекоммуникационная сеть) обязаны гарантировать, что обладают исключительными правами на нее и «не будут нарушены права третьих лиц». Если по результатам будет найдена уязвимость, владелец инфраструктуры передаст в течение пяти дней данные во ФСТЭК. Контроль за Bug Bounty также передается службе.
Первый законопроект о деятельности «белых хакеров» внесен в Госдуму в декабре прошлого года и в октябре 2024 года прошел первое чтение. В ноябре в Минцифры заявляли, что на тестирование нужно закрепить государственные тарифы (см. “Ъ” от 11 ноября).
В Минцифры считают целесообразным рассматривать новый документ с учетом принятого в первом чтении законопроекта о «белых хакерах» и отзыва правительства. Артем Шейкин добавляет, что первая инициатива не устраняет законодательные пробелы и дополнения «логично поместить в отдельный ФЗ».
Основатель платформы Bug Bounty bugbounty.ru Лука Сафонов отмечает, что приведенное значение размера уставного капитала операторов не должно влиять на принятие уязвимостей. «Фонд тоже под вопросом: сейчас это 5%, завтра может быть выше, это ограничит рынок одним-двумя игроками». В операторах платформ BI.ZONE и Positive Technologies инициативу не прокомментировали.
составили выплаты белым хакерам на платформе Bug Bounty компании BI.Zone с января по август 2024 года.
В «Вымпелкоме» и МТС говорят, что регулярно проводят тестирования как самостоятельно, так и с помощью сторонних специалистов. В «МегаФоне» - что соответствуют стандартам в области безопасности, а также требованиям к КИИ: «Стандарты и требования налагают обязательства по регулярным оценкам защищенности внутреннего и внешнего периметров компании». В t2 (ранее Tele2) сообщили, что «склоняются к необязательным программам Bug Bounty». Глава комитета по информбезопасности Ассоциации российских банков (входят Абсолют-банк, Росбанк и др.) Андрей Федорец предполагает, что все участники финансового рынка будут заинтересованы в Bug Bounty и «может потребоваться ежегодное тестирование».
Как «белых хакеров» подводят под регулирование
При этом операторы связи, как и все субъекты КИИ, очень сильно зарегулированы, что накладывает уже достаточные ограничения на бизнес, говорит собеседник “Ъ” в одном из крупных операторов. Собеседник в другой крупной компании добавляет, что рекомендаций, которые сейчас выдает Национальный координационный центр по компьютерным инцидентам ФСБ, достаточно для обеспечения уровня безопасности их IT-систем.