Госдума в очередной раз отклонила законопроект о легализации «белых» хакеров. В статье рассмотрим причины отказа, расскажем, кто такие «белые» хакеры и для чего они нужны.
Законопроект снова не принят
Госдума отклонила законопроект о легализации «белых» хакеров, что вызвало оживленные дискуссии в сфере кибербезопасности России. Инициатива, предложенная в 2023 году с целью регулирования деятельности специалистов, тестирующих ИТ-системы на уязвимости, не прошла во втором чтении 8 июля 2025 года.
Основной причиной отказа стало опасение правительства, что принятие закона может привести к раскрытию уязвимостей иностранных компаний из «недружественных» юрисдикций. Это, в свою очередь, может быть использовано против интересов национальной безопасности.
Профильный комитет Госдумы также указал на необходимость учета особенностей защиты государственной тайны и критической инфраструктуры, что не было учтено в первоначальной редакции.
Авторы законопроекта, включая депутата Антона Немкина, выразили готовность доработать документ с учетом высказанных замечаний. Они подчеркнули, что новая редакция будет направлена на упрощение процесса получения разрешений для пентестеров, которые сейчас вынуждены получать согласие каждого правообладателя программного обеспечения в системе.
Кто такие «белые» хакеры и зачем они нужны?
«Белые» хакеры, или пентестеры, играют важную роль в обеспечении кибербезопасности. Они легально ищут уязвимости в ИТ-системах, помогая компаниям устранить их до того, как они будут использованы злоумышленниками. Их работа напоминает действия «черных» хакеров, но с важным отличием — они действуют по договору или через платформы Bug Bounty за вознаграждение.
Без законодательного регулирования пентестеры работают в «правовом вакууме», что создает дополнительные риски как для компаний, так и для самих специалистов. Крупные организации и госорганы, например Минцифры, привлекают их через соглашения о неразглашении (NDA) и лицензии ФСТЭК, но для малого бизнеса такие практики остаются недоступными из-за высоких рисков.
Мнения экспертов разделились относительно последствий отказа в принятии закона. Наталья Касперская из InfoWatch считает, что легализация без должного регулирования может привести к расширению возможностей для реальных киберпреступников. Анатолий Песковский из «Информзащиты» предупреждает о возможном создании «исследовательского пузыря», который затруднит доступ к профессии для новичков.
Альтернативные решения, предложенные экспертами, включают введение государственных тарифов за найденные уязвимости и использование платформы «Госуслуги» для идентификации и контроля деятельности исследователей.
Также обсуждается необходимость разработки требований к Bug Bounty-платформам, чтобы обеспечить прозрачность и безопасность процесса.
По данным Positive Technologies, в 2023 году число киберинцидентов в стране выросло на 7%, при этом 51% атак привел к утечке данных.
Что дальше?
Кирилл Левкин из MD AudIT отметил, что сейчас «белые» хакеры работают в условиях правового вакуума. Для отрасли критически важно найти баланс: как защитить добросовестных исследователей и обеспечить легальные каналы передачи данных, особенно для иностранного ПО, не раскрывая уязвимости тем, кто может использовать их в преступных целях.
Депутат Антон Немкин анонсировал новый пакет законопроектов, направленных на регулирование статуса пентестеров, порядка тестирования и ответственности за нарушения.
Однако, по оценкам экспертов, без достижения компромисса между безопасностью государственной тайны и гибкостью для исследователей, закон может быть отклонен и в третий раз.