Этичный хакинг становится популярным – увеличивается количество учеников на профильных курсах, появляются новые багбаунти-программы, в том числе связанные с ГИСами. В то же время, статус «белого хакера» никак не закреплен законодательно, а вся нормативная база – это договор между компанией и исследователем.
Лука Сафонов, технический директор компании Weblock (входит в группу компаний «Гарда»), рассказал порталу Cyber Media о проблемах и сложностях, с которыми может столкнуться исследователь безопасности при поиске уязвимостей.
Cyber Media: С определенной регулярностью в публичном доступе появляются кейсы, когда исследователь нашел уязвимость у той или иной компании, но не смог «сдать» ее, и был вынужден «опубличить». Последствия бывают самые разные – от благодарности до обвинений в злом умысле. Как быть исследователю во втором случае?
Лука Сафонов: Второй случай, когда исследователь сталкивается с обвинениями в злом умысле после публикации уязвимости, может быть очень неприятным. В такой ситуации исследователь может предпринять следующие шаги:
Но, как правило, публичное раскрытие уязвимости без согласования второй стороны строго порицается (по крайней мере в России). На Западе существует практика ответственного раскрытия уязвимости, предполагающая 90-дневное «молчание» нашедшего баг, чтобы дать возможность устранить уязвимость, но и эта модель не всеми и не ко всему применима.
Cyber Media: Применительно к российской практике, что такое политика ответственного разглашения и как она работает?
Лука Сафонов: В российской практике политика ответственного разглашения (или модель «белого хакерства») представляет собой способ сотрудничества между исследователями безопасности и компаниями с целью улучшения безопасности информационных систем. Как правило, это касается пентестов/консалтинга или багбаунти и строго регламентировано договором или правилами (в виде акцептованной оферты.)
Cyber Media: Как часто багхантеры сталкиваются с тем, что компания отказывает в выплате по причине того, что уязвимость находится вне скоупа? Что делать в таких ситуациях багхантеру и какое поведение компании Вы считаете оптимальным?
Лука Сафонов: Если в правилах указано, что выплаты за уязвимости вне скоупа/third party не оплачиваются – они и не должны оплачиваться. Хотя зачастую компании наоборот принимают критические баги вне скопа и благодарят (в том числе и финансово) багхантера.
Cyber Media: Если исследователь каким-то образом нашел значимую уязвимость, но у компании нет багбаунти и она не отвечает по публичным контактам – какой путь Вы считаете оптимальным?
Лука Сафонов: Оптимальный путь поискать контакты команды безопасности или разработки, например, по пути /security.txt. Все больше компаний используют эту возможность, чтобы дать исследователю найти контакт: https://securitytxt.org/ Например, это есть на Госуслугах: gosuslugi.ru/security.txt или портале ДИТ Москвы – mos.ru/security.txt. Если ресурс социально значимый, а контакты не найдены – напишите на info@bdu.fstec.ru, коллеги из БДУ ФСТЭК охотно помогут найти «хозяина» уязвимого сервиса.
Cyber Media: Если говорить о нормативной базе, насколько защищен исследователь безопасности? В связи с растущим интересом к ИБ, и к этичному хакингу в частности, нужны ли какие-то изменения в регуляторике?
Практически ничем не защищен, законопроект о защите, например, «белых хакеров» обсуждается уже больше полутора лет и пока никак не принят.
Cyber Media: Если говорить о других странах, можете ли вы привести примеры стран, где статус «белого хакера» закреплен законодательно и сам закон действительно защищает специалиста в спорных ситуациях?
Лука Сафонов: Да, например, в США. В закон о компьютерном мошенничестве и злоупотреблениях внесли ряд изменений. Основные из них: «Исследование безопасности» – доступ к компьютеру только ради тестирования, исследования и исправления недостатка безопасности или уязвимости при условии отсутствия любого вреда для отдельных физических лиц или общества в целом, и когда полученная таким образом информация используется в целях повышения безопасности класса устройств, машин, онлайн-сервисов.
Cyber Media: Насколько вообще нужно законодательное закрепление статуса «белого хакера»?
Лука Сафонов: Это необходимо для действий в правовом поле, к сожалению, сейчас багхантеры слабо защищены (если не представлены юрлицом, к примеру). Также отсутствие гарантий правомочности действий накладывет отпечаток на работу багхантера – он просто не захочет браться за работу, связанную с госресурсами.
Cyber Media: Почему, на Ваш взгляд, этот законопроект встречает сопротивление со стороны ряда российских регуляторов?
Лука Сафонов: В слабом понимании парадигмы багбаунти, на их взгляд, это «развяжет руки» преступникам и может помочь избежать наказания за правонарушения.
Cyber Media: В ходе пентеста и редтим-проектов специалиста защищает договор. Можно ли говорить о том, что багбаунти-платформа обеспечивает тот же уровень защиты исследователя, если он придерживается оговоренных правил, скоупа и тд?
Лука Сафонов: Думаю, любая платформа заинтересована в честной и независимой оценке действий холдера или багхантера и может выступить в роли арбитра в спорных ситуациях, в том числе, приняв ту или иную сторону в качестве правой.
Современные киберугрозы и хакерские атаки всё чаще направлены не на кражу данных, а на их полное уничтожение.
Отечественная отрасль микроэлектроники переживает подъем – уже сейчас доля отечественных производителей составляет более 25%, а к 2030 году они могут занять почти половину рынка.
Максим Казенков — DevOps-специалист по информационной безопасности VK.
Цифровизация и внедрение ИИ заставляют нефтегазовые компании выходить за рамки формальной отчетности по безопасности.
Инфраструктурный ресерч в России выходит на новый уровень.
В условиях стремительной цифровизации и обострения геополитической обстановки вопрос кибербезопасности перестал быть узкоспециализированной темой – он стал вопросом национальной безопасности России.
В интервью для Cyber Media Евгений рассказал о современных трендах в резервном копировании, новых киберугрозах для систем хранения данных, типичных ошибках компаний при организации защиты резервных копий и о том, как правильно строить стратегию сохранения данных с учетом принципов информационной безопасности.
Победитель премии «Киберпросвет–2025» в номинации «Киберволонтер года» Артем Гулюк — действующий сотрудник управления по противодействию киберпреступности УВД Брестского облисполкома Республики Беларусь.
Российский рынок информационной безопасности за последние годы пережил радикальные изменения: уход западных вендоров, рост числа кибератак, развитие отечественных решений и появление новых форматов продвижения.
Специалисты по ИБ и киберпреступники находятся в постоянном соперничестве — кто кого победит в текущем «раунде», окажется ли «броня» крепче «снаряда».
