В Совфеде разработали новый законопроект о регулировании и масштабировании в РФ деятельности «белых хакеров» Bug Bounty, ищущих уязвимости в IT-системах (первый вносили в Госдуму в декабре 2023 года), сообщает «Коммерсантъ».
В документе предлагают внести изменения в три федеральных закона — «О безопасности критической информационной инфраструктуры», «О лицензировании отдельных видов деятельности» и «Об информации, информтехнологиях и о защите информации».
Согласно им, представителей критической информационной инфраструктуры (КИИ) РФ могут обязать проводить Bug Bounty. Также новые нормы определяют ответственность участников тестирования и тестировщиков плюс требования к платформам и отбору операторов (например, уставной капитал последних должен составлять не менее 100 тыс. руб., гарантийный фонд — от 5 % уставного капитала).
В частности, владельцы ПО, ПАК и телекоммуникационных сетей должны будут гарантировать защиту данных пользователей. Если же Bug Bounty обнаружит в их инфраструктуре уязвимость, сведения об этом в течение пяти дней должны поступить в Федеральную службу по техническому и экспортному контролю Российской Федерации. Кроме того, ФСТЭК будет контролировать и тестировщиков.
Эксперты «Ъ» считают, что новый законопроект о «белых хакерах» стоит рассматривать с учетом принятого в первом чтении документа 2023 года и его оценки в правительстве. К тому же возникли замечания в отношении объемов уставного капитала и гарантийного фонд: есть риск монополизации рынка одним-двумя игроками.
При этом сами владельцы IT-инфраструктуры отмечают, что и так следят за соответствием стандартам безопасности и требованиям к КИИ и постоянно проводят тестирования — как своими силами, так и с помощью сторонних специалистов. Соответственно, исполнение требований закона лучше сделать добровольным, так как все субъекты КИИ и без того сильно зарегулированы.