Сейчас понятие bug bounty (программы выплат вознаграждений за обнаружение ошибок в IT-инфраструктуре) в правовом поле отсутствует, что является барьером на пути развития технологий киберзащиты. Кроме того, в будущем этичный хакинг должен стать полноценной профессиональной областью — со своими правилами и установленной законом ответственностью.
Об этом заявили специалисты консорциума Центра компетенций Национальной технологической инициативы (НТИ) "Технологии хранения и анализа больших данных" на базе МГУ им. М.В. Ломоносова.
С начала года число bug bounty-программ компаний выросло с нуля до 33, а в следующем году их количество может удвоиться, прогнозирует Сергей Афанасьев, руководитель проектов направления правовых исследований и юридического сопровождения компании "Интеллектуальная аналитика", входящей в консорциум центра.
"Мы считаем, что тенденция будет набирать обороты, и в следующем году этот показатель может вырасти как минимум вдвое, — сказал он (цитата по ТАСС). — В последнее время даже стали появляться специальные курсы по этичному хакингу, что говорит о том, что рано или поздно такое 'хобби' может стать полноценной профессией".
В июле СМИ сообщили, что Минцифры планирует легализовать деятельность "белых" хакеров — специалистов, которые ищут уязвимости в информационных системах с разрешения заказчика. Для этого предлагается законодательно закрепить понятие bug bounty и запустить бонусную программу для тестировщиков уязвимостей в информационных госсистемах.
Сейчас понятие bug bounty в законодательстве никак не определено. Это значит, что "этичные" кибервзломщики, которые действуют даже с благими намерениями, могут быть привлечены к ответственности по ст. 272 УК РФ за неправомерный доступ к компьютерной информации.
