В России Минцифры инициирует легализацию «белых» хакеров – грядут перемены
Инициатива Министерства цифрового развития, связи и массовых коммуникаций, касающаяся легализации программы выплат так называемым белым хакерам, специалистам по кибербезопасности,
Инициатива Министерства цифрового развития, связи и массовых коммуникаций, касающаяся легализации программы выплат так называемым белым хакерам, специалистам по кибербезопасности, с которыми крупные организации заключают договоры на поиск в информационных системах случайно оставленных разработчиками «багов», нашла выход. Минцифры намерено ввести в правовое поле понятие bug bounty. Что это такое и для чего это нужно – объяснили «Ведомости».
Не секрет, что как бы ни готовили разработчики своё творение к выпуску, «баги» (от англ. bug – жук, т.е. уязвимость, лазейка в информационной системе) всё равно выползают. Поэтому так распространена практика подвизать к IT-проекту специалистов, способных качественно протестировать его на наличие лазеек до того, как «вещь» будет выпущена в мир. Причем одно дело, когда тестируются игры, другое – когда необходимо скрупулезно обнаружить «блох» в информсистемах, которые будут установлены на компьютерные сети, развернутые в госучреждениях. Учитывая запрос на кибербезопасность в условиях недружественной мировой обстановки, это дело государственной важности. К тому же тестировщики зачастую очень талантливые, очень въедливые и работящие – а таким специалистам нужно платить. Но до этого времени оплата эта и вообще их деятельность (bug bounty, red team, пентест и т.п.) были, так сказать, на грани – говорят специалисты.
Bug bounty – это бонусная программа, выплата вознаграждение за обнаружение уязвимостей (пентест). Для того чтобы разобраться в вопросе бонусной программы, «Ведомости» побеседовали с представителем компании, занимающейся кибербезопасностью, а также с «человеком в крупной международной компании на рынке информзащиты» – он подтвердил , что «правовые аспекты bug bounty прорабатываются». Впрочем, сообщают коллеги, официальные комментарии в Минцифры пока не дают.
Дело в том, что на сегодня все эти бонусные поощрения за проделанную работу полулегальны, так как нет понятия bug bounty в российском законодательстве. Поэтому вмешательство «тимуровцев» в обеспечение защищенности программ может вольно трактоваться и как самая важная помощь, и как неправомерный доступ к компьютерной информации (а это уже ст.272 УК РФ, которая гарантирует уголовное преследование). В случае же принятия инициативы за каждый проект будет выплачиваться законная премия, как это делают в крупных зарубежных IT-корпорациях, плюс готовящийся еще с апреля в недрах Минцифры документ станет одним из стандартов оценки реальной защищенности государственных и коммерческих организаций от несанкционированного доступа – добавили интересанты. В общем, инициатива хорошая, бесспорно полезная, но проработка ее требует также большого внимания, чтобы не выскочили свои правовые «баги». А пока даже на том самом Западе нет-нет, да и случается какая-нибудь «прорушка на старушку».
Не секрет, что как бы ни готовили разработчики своё творение к выпуску, «баги» (от англ. bug – жук, т.е. уязвимость, лазейка в информационной системе) всё равно выползают. Поэтому так распространена практика подвизать к IT-проекту специалистов, способных качественно протестировать его на наличие лазеек до того, как «вещь» будет выпущена в мир. Причем одно дело, когда тестируются игры, другое – когда необходимо скрупулезно обнаружить «блох» в информсистемах, которые будут установлены на компьютерные сети, развернутые в госучреждениях. Учитывая запрос на кибербезопасность в условиях недружественной мировой обстановки, это дело государственной важности. К тому же тестировщики зачастую очень талантливые, очень въедливые и работящие – а таким специалистам нужно платить. Но до этого времени оплата эта и вообще их деятельность (bug bounty, red team, пентест и т.п.) были, так сказать, на грани – говорят специалисты.
Bug bounty – это бонусная программа, выплата вознаграждение за обнаружение уязвимостей (пентест). Для того чтобы разобраться в вопросе бонусной программы, «Ведомости» побеседовали с представителем компании, занимающейся кибербезопасностью, а также с «человеком в крупной международной компании на рынке информзащиты» – он подтвердил , что «правовые аспекты bug bounty прорабатываются». Впрочем, сообщают коллеги, официальные комментарии в Минцифры пока не дают.
Дело в том, что на сегодня все эти бонусные поощрения за проделанную работу полулегальны, так как нет понятия bug bounty в российском законодательстве. Поэтому вмешательство «тимуровцев» в обеспечение защищенности программ может вольно трактоваться и как самая важная помощь, и как неправомерный доступ к компьютерной информации (а это уже ст.272 УК РФ, которая гарантирует уголовное преследование). В случае же принятия инициативы за каждый проект будет выплачиваться законная премия, как это делают в крупных зарубежных IT-корпорациях, плюс готовящийся еще с апреля в недрах Минцифры документ станет одним из стандартов оценки реальной защищенности государственных и коммерческих организаций от несанкционированного доступа – добавили интересанты. В общем, инициатива хорошая, бесспорно полезная, но проработка ее требует также большого внимания, чтобы не выскочили свои правовые «баги». А пока даже на том самом Западе нет-нет, да и случается какая-нибудь «прорушка на старушку».
Последние новости
ДТП в Твери: женщина попала под колеса автомобиля
54-летняя пешеход госпитализирована после наезда в Твери.
Смертельное ДТП в Твери: женщина пострадала под колесами автомобиля
Водитель не успел заметить пешехода на дороге.
Ярмарка профессий в Бологое: будущее железнодорожной отрасли
Учащиеся 10-11 классов познакомились с возможностями профессий в РЖД.
Частотник
Осуществляем поставку в оговоренные сроки, обеспечивая быструю отправку
Здесь вы можете узнать о лучших предложениях и выгодных условиях, чтобы купить квартиру в Бору