Госдума легализует белых хакеров: что это значит для информационной безопасности?

Государственная Дума Российской Федерации приняла в первом чтении законопроект, направленный на легализацию деятельности белых хакеров — специалистов, занимающихся исследованием программного обеспечения для выявления уязвимостей. Законопроект № 509708-8 «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации» был принят 16 октября 2024 года и предусматривает возможность тестирования программ без согласия правообладателя.

Этот закон позволяет любому пользователю проводить исследования и тестирование программного обеспечения или баз данных для выявления недостатков, не получая предварительного согласия правообладателя и не выплачивая вознаграждение. Главная цель этого шага — повысить уровень безопасности программ, предотвращая угрозы, которые могут возникнуть из-за уязвимостей в коде.

Однако использование этих прав допускается при соблюдении строгих условий. Во-первых, тестирование должно проводиться только на личных устройствах пользователя, то есть исследуемая программа должна быть установлена на собственных технических средствах исследователя. Во-вторых, при выявлении недостатков исследователь обязан уведомить правообладателя в течение пяти рабочих дней. Передача информации о найденных уязвимостях третьим лицам строго запрещена, кроме случаев, когда это происходит с разрешения правообладателя.

Исключение предусмотрено в случае, если определить местонахождение правообладателя не удалось. В этом случае исследователь освобождается от обязательства уведомления, что делает процесс поиска уязвимостей более гибким. Такой подход может стимулировать специалистов к более активному участию в повышении уровня кибербезопасности, что, в конечном итоге, скажется положительно на безопасности всех пользователей.

Законопроект был внесен депутатами А. И. Немкиным и Г. О. 14 декабря 2023 года и стал важным шагом на пути к признанию деятельности белых хакеров законной. Это особенно актуально в свете растущих угроз кибератак и необходимости защиты информационных систем в стране. Легализация такого рода деятельности может существенно улучшить защиту критически важных объектов и инфраструктуры.