Отсутствие законодательной базы для “белых” хакеров, тестирующих устойчивость компаний к киберугрозам, препятствует развитию технологий киберзащиты. Работа этичных хакеров должна со временем стать новой профессиональной областью со своими правилами и установленной законом ответственностью, такое мнение в четверг на Конгрессе молодых ученых в Сочи высказали ТАСС эксперты консорциума Центра компетенций Национальной технологической инициативы (НТИ) “Технологии хранения и анализа больших данных” на базе МГУ им. М.В. Ломоносова.
Этичным или “белым” хакингом называют ситуации, когда доброволец с навыками взлома пытается пройти уровни киберзащиты компании для того, чтобы показать ее уязвимости, а не из корыстных целей. В России эта сфера сейчас активно развивается – все больше крупных компаний интересуются услугами “белых” хакеров для улучшения защиты данных и инфраструктуры, отметил Сергей Афанасьев, руководитель проектов направления правовых исследований и юридического сопровождения компании “Интеллектуальная аналитика”, входящей в консорциум центра.
“С начала года число bug bounty-программ компаний (свод правил, которых нужно придерживаться хакеру при тестировании на проникновение) выросло с нуля до 33. Мы считаем, что тенденция будет набирать обороты, и в следующем году этот показатель может вырасти как минимум вдвое. В последнее время даже стали появляться специальные курсы по этичному хакингу, что говорит о том, что рано или поздно такое “хобби” может стать полноценной профессией”, – сказал он.
В стране нет профессии этичного хакера, но по своим функциям такие специалисты во многом близки к сотрудникам подразделений, занимающихся в компаниях кибербезопасностью. Но если цель последних – выстроить непробиваемую систему защиты, то хакеры ставят своей задачей поиск в ней лазеек, уточнил эксперт.
“Конечно, если этичный хакер взломает компанию, которая об этом не просила, он понесет наказание, ведь тем самым он может нарушить многие нормы законодательства. Санкции за нарушение закона существенные. Важно отметить, что привлечение к уголовной ответственности возможно, только если действия хакера повлекли последствия, перечисленные в законе: уничтожение, блокирование, модификацию, копирование компьютерной информации. Чтобы избежать таких случаев, компании открывают свои bug bounty-программы”, – пояснил правовой аналитик Евгений Жулин, добавив, что заключение договоров между хакером и организацией пока остается редкой практикой.
Законодательная база
Отсутствие законодательной базы, регулирующей статус и области разрешенных исследований для “белых” хакеров, эксперты считают барьером на пути развития технологий киберзащиты.
“В настоящее время государство заинтересовано в легализации деятельности белых хакеров. Минцифры еще летом заявило, что работает над возможностью введения понятия bug bounty в правовое поле. Это послужит огромным толчком для развития сферы этичного хакинга, а значит, и для возможности привлекать их для тестирования информационных структур госсектора. В настоящее время абсолютное большинство bug bounty-программ принадлежат частным компаниям”, – пояснил руководитель направления правовых исследований и юридического сопровождения компании Игорь Терещенко.
О конгрессе
II Конгресс молодых ученых проходит в Парке науки и искусства “Сириус” в Сочи 1-3 декабря. Ожидается, что в нем примут участие более трех тысяч гостей из России и более 40 стран мира. Они будут участвовать в панельных дискуссиях, питч-сессиях и мастер-классах, круглых столах и других мероприятиях. Программа включает в себя семь тематических блоков, посвященных актуальным вопросам и вектору развития научных подходов в России.
Конгресс входит в программу Десятилетия науки и технологий, объявленного с 2022 по 2031 год президентом РФ Владимиром Путиным. Организаторами события в Сочи выступают Министерство науки и высшего образования РФ, Координационный совет по делам молодежи в научной и образовательной сферах Совета при президенте РФ по науке и образованию и Фонд Росконгресс. Оператором Десятилетия науки и технологий выступает АНО “Национальные приоритеты”. ТАСС – генеральный информационный партнер конгресса.
Источник: ТАСС