Новый пакет законодательных инициатив по противодействию кибермошенничеству вызвал тревогу у специалистов по информационной безопасности.
Одним из пунктов предлагается запретить распространение сведений о методах проведения кибератак.
Эксперты предупреждают: эта мера может осложнить работу исследователей, которые занимаются поиском уязвимостей в рамках bug bounty-программ и легального тестирования.
Поправки предполагается внести в федеральный закон «Об информации, информационных технологиях и о защите информации». Формулировка касается данных, которые якобы могут быть использованы для «несанкционированного уничтожения, блокировки или модификации информации». Однако на практике именно такие материалы часто необходимы «белым хакерам» для анализа систем и предупреждения инцидентов.
Игроки рынка сравнивают инициативу с запретом медикам изучать яды или вирусы. Без доступа к информации специалисты по кибербезопасности рискуют потерять возможность своевременно выявлять слабые места в IT-инфраструктуре. В результате под ударом может оказаться целая экосистема bug bounty, которая последние годы активно развивалась в России и помогала компаниям находить «дыры» до того, как их используют настоящие преступники.
Власти же настаивают, что новые правила должны защитить бизнес и государство, а контроль за их применением возложат на Роскомнадзор и прокуратуру. Тем не менее эксперты указывают на растущую правовую неопределённость: граница между исследованием и преступлением станет ещё более размытой, что может оттолкнуть молодых специалистов от профессии в момент, когда кадровый дефицит в киберсфере только усиливается.
Одним из пунктов предлагается запретить распространение сведений о методах проведения кибератак.
Эксперты предупреждают: эта мера может осложнить работу исследователей, которые занимаются поиском уязвимостей в рамках bug bounty-программ и легального тестирования.
Поправки предполагается внести в федеральный закон «Об информации, информационных технологиях и о защите информации». Формулировка касается данных, которые якобы могут быть использованы для «несанкционированного уничтожения, блокировки или модификации информации». Однако на практике именно такие материалы часто необходимы «белым хакерам» для анализа систем и предупреждения инцидентов.
Игроки рынка сравнивают инициативу с запретом медикам изучать яды или вирусы. Без доступа к информации специалисты по кибербезопасности рискуют потерять возможность своевременно выявлять слабые места в IT-инфраструктуре. В результате под ударом может оказаться целая экосистема bug bounty, которая последние годы активно развивалась в России и помогала компаниям находить «дыры» до того, как их используют настоящие преступники.
Власти же настаивают, что новые правила должны защитить бизнес и государство, а контроль за их применением возложат на Роскомнадзор и прокуратуру. Тем не менее эксперты указывают на растущую правовую неопределённость: граница между исследованием и преступлением станет ещё более размытой, что может оттолкнуть молодых специалистов от профессии в момент, когда кадровый дефицит в киберсфере только усиливается.
