Спецпроекты

Безопасность Госрегулирование Стратегия безопасности Бизнес Законодательство Техника

Белых хакеров ждет тюрьма? Закон об их легализации в России отклонен

Госдума отклонила закон о легализации белых хакеров, несмотря на то, что он уже был принят в первом чтении почти год назад. Нашелся целый список причин, по которым в России белые хакеры в случае чего будут нести такую же ответственность, что и обычные.

Белый, черный – разницы нет

Госдума России официально отклонила законопроект о легализации так называемых «белых» хакеров – тех, кто взламывает сервисы, инфраструктуру и ПО по заказу их владельцев. Как пишет РБК, рекомендацию отклонить закон передал профильный комитета Госдумы по государственному строительству и законодательству.

В России движение белых хакеров очень развито – в стране существуют несколько платформ, на которых компании размещают заказы на тестирование безопасности их систем. В частности, такие платформы есть у ИБ-компаний Bi.Zone и Positive Technologies.

Услугами белых хакеров пользуются очень многие организации, потому что дешевле заплатить им за поиск уязвимостей, чем потом страдать от взлома и утечки данных или платить выкуп хакерам-вымогателям.

Очень востребованные специалисты

Среди тех, кто заказывает услуги по взлому своих систем, есть не только частные компании, но также и отечественные госструктуры, например, Минцифры России. Хакеры, такие услуги предоставляющие, могут зарабатывать вплоть до миллионов рублей в зависимости от критичности и количества найденных ими уязвимостей.

Белая шляпа - международный символ белых хакеров

Именно Минцифры добивается легализации в России белых хакеров. Этот вопрос находится в публичном поле с весны 2022 г. – примерно в этот период всемирно известная американская платформа для белых хакеров HackerOne прекратила работу с российскими специалистами на почве санкций.

Реализовать эту затею планировалось на уровне закона. В декабре 2023 г. на рассмотрение в Госдуму был внесен законопроект № 509708-8 «О внесении изменений в статью 1280 части четвертой ГК РФ (об использовании программ для ЭВМ и баз данных)» за авторством группы депутатов Госдумы.

Пока одни законопроекты становятся законами в считанные недели, этот документ лежал на полке почти год – он был принят в первом чтении лишь в октябре 2024 г. На этом его рассмотрение застопорилось еще на несколько месяцев – 16 мая 2025 г. было принято решение о рассмотрении документа во втором чтении, однако 8 июля 2025 г. Дума отклонила его.

Причины отказа

По информации РБК, члены комитета, давшего рекомендацию по отклонению законопроекта, уверены, что тот «не учитывает особенности информационного обеспечения работы госорганов». Комитет счел, что в документе не учитываются нормы о гостайне и безопасности критической информационной инфраструктуры (КИИ – информсистемы госорганов, транспортных, энергетических, финансовых других компаний).

Одной причиной рекомендации по отказу комитет Госдумы ограничиваться не стал. Он аргументировал свое решение еще и тем, что российское законодательство в целом не готово к легализации хакеров. Другими словами, в других законах нет необходимых изменений.

Отзыв комитета гласит, что для «обеления» белых хакеров требуется комплексная модернизация действующего российского законодательства, в том числе и уголовного.

«Эти изменения должны определить правила поиска уязвимостей и снизить связанные с этим риски, но такие поправки до сих пор не внесены» – пишет РБК со ссылкой на отзыв комитета Госдумы по госстроительству.

Отдельно составители отзыва упомянули национальную безопасность России как еще одну причину для отклонения законопроекта. В комитете посчитали, что ей угрожает пункт документа о возможности уведомлять разработчиков или правообладателей программ и сервисов о наличии «дыр» в их продуктах. Разработчики и правообладатели могут дислоцироваться в недружественной юрисдикции, следовательно, передача им сведений об уязвимостях в их же продуктах может угрожать нацбезопасности России, уверены в комитете Госдумы.

Попытка номер два

В Минцифры сообщили изданию, что в настоящее время ведомство находится в обсуждении «инициативы по определению требований и правил при проведении мероприятий по поиску уязвимостей», а заодно и «законодательной ответственности в случае их нарушения». Обсуждение, пишет РБК, ведется «с заинтересованными госорганами». Их перечень не раскрывается.

Авторы законопроекта намерены повторно внести его на рассмотрение в Госдуму, но уже в составе целого пакета документов «касающихся правового статуса и правил деятельности пентестеров», пишет РБК ос ссылкой на депутата Антона Немкина – члена ИТ-комитета Госдумы и одного из авторов законопроекта.

Пентестер – это ИБ-специалист, проводящий «пентесты» (от англ. Pentest или Pentetration test – тест на проникновение).

Важно подчеркнуть, что против легализации белых хакеров с самого начала выступали силовые структуры. CNews писал об этом в ноябре 2023 г.

Геннадий Ефремов

Короткая ссылка