В России растет спрос на «белых» хакеров, несмотря на уголовные риски

Спрос на хакеров

Крупные компании и госсектор в России увеличивают спрос на услуги пентестов, заявляют компании и специалисты в области безопасности. Речь идет о безопасном способе оценки защищенности информационных систем организации путем имитации действий злоумышленников. Так, по словам руководителя управления анализа защищенности ИБ-компании BI.ZONE Михаила Сидорука, пентест в России развивается прежде всего в отраслях с высокими рисками и строгими требованиями к безопасности.

«Сегодня услуга востребована примерно у 5–7% организаций, к которым относятся банки, финансовый сектор, телеком, крупная промышленность, госсектор, объекты критической информационной инфраструктуры (КИИ) и крупные онлайн-платформы, в этих сегментах спрос растет», – добавил Сидорук. По его словам, к зрелым игрокам добавляются новые компании, также все чаще интерес проявляют организации из других сфер.

Опрошенные SecPost руководители в области информационной безопасности крупных российских компаний (CISO) также заявили, что прибегают к пентестам для выявления уязвимостей в своей продукции. Например, директор по информационной безопасности «Группы Астра», разработчика инфраструктурного ПО, Дмитрий Сатанин отметил, что компания использует программу Bug Bounty для повышения безопасности своих продуктов, а элементы пентеста (например, фаззинг-тестирование) включены в процессы разработки безопасного программного обеспечения. CISO «Авито» Андрей Усенок заявил, что компания запустила программу поиска уязвимостей Bug Bounty еще в 2018 году.

Bug Bounty — это программа, в рамках которой компании официально приглашают специалистов искать уязвимости и баги в их софте, сервисах, веб-сайтах или инфраструктуре.

«Исследователи проверяют системы компании на наличие уязвимостей, отправляют отчеты через платформу, с описанием обнаруженных проблем и методами воспроизведения и устранения», – подчеркнул Усенок, добавив, что команда безопасности проверяет полученные данные, подтверждает наличие уязвимости, тестирует предложенное решение и инициирует ее исправление.

Работа над ошибками

Ранее замглавы Минцифры РФ Александр Шойтов, выступая на РИФ-2025, отмечал: бизнес-структуры не спешат закрывать уязвимости, выявленные специалистами по пентесту по причине нехватки ресурсов. По словам же Михаила Сидорука из BI.ZONE, крупные заказчики демонстрируют высокую оперативность, закрывая до 80–90% уязвимостей в первый же месяц с момента проведения тестирования.

Пентесты из года в год демонстрируют неизменный набор типовых проблем безопасности в российских компаниях, подчеркивает аналитик исследовательской группы компании сферы кибербезопасности Positive Technologies Роман Резников.

Самыми распространенными среди тестируемых за период со второй половины 2024 по третий квартал 2025 год компаний были недостатки парольной политики: словарные и слишком короткие комбинации, использование паролей по умолчанию и применение одинаковых паролей для разных сервисов и приложений. «Проблема слабых паролей дополнялась и тем, что в каждой второй протестированной компании встречались недостатки в реализации многофакторной аутентификации, или вовсе ее отсутствие», — добавил Резников.

В свою очередь Сидорук рассказал, что чаще всего встречаются ошибки контроля доступа, XSS и SQL-инъекции, логические уязвимости и связанные с учетными записями.

«Хакеры» против УК РФ

Опрошенные SecPost участники рынка информационной безопасности не пришли к единому мнению относительно легальности рынка «белых хакеров» в России. Напомним, законопроект о деятельности таких специалистов был внесен на рассмотрение Госдумы 12 декабря 2023 года. Осенью 2024 года он был принят в первом чтении, но после был поставлен на паузу. В ходе второго чтения, уже в июле 2025 года, законопроект был отклонен по рекомендации комитета Госдумы по государственному строительству и законодательству. В заключении комитета было, в частности, указано, что документ не учитывает особенности защиты гостайны и КИИ.

По мнению бизнес-консультанта по информационной безопасности ИБ-компании Positive Technologies Алексея Лукацкого, говорить о легализации деятельности белых хакеров и вовсе некорректно, «поскольку их работа в России не запрещена». Более того, она прямо предусмотрена рядом нормативно-правовых актов, добавляет он. «Например, проведение тестов на проникновение (пентестов) — задача, которую выполняют именно «белые хакеры» в рамках договоров с компаниями. Такая деятельность закреплена в регуляторных документах Федеральной службы по техническому и экспортному контролю, Банка России и иных органов, обязывающих финансовые организации, государственные структуры и субъекты критической информационной инфраструктуры проводить практическую проверку защищенности своих информационных систем», — сказал Лукацкий.

При этом он отмечает, что правовая неопределенность возникает как раз в вопросе участия специалистов в работе платформы Bug Bounty. В данном случае «белые хакеры» часто сталкиваются с вопросами, насколько они могут оценивать защищенность систем в инициативном порядке или в рамках контрактных обязательств без риска попасть под административную или уголовную ответственность.

Директор по информационной безопасности «Группы Астра» Дмитрий Сатанин также считает, что деятельность «белых хакеров» в России «вполне легализована» и никаких дополнительных нормативных актов для её легализации не нужно.

Другой позиции придерживается руководитель направления разработки и внедрения систем ИБ «МойОфис», разработчика пакета офисного ПО, Артур Кондаков. По его мнению, деятельность «белых хакеров» формально может быть квалифицирована по статьям 272 («Неправомерный доступ к компьютерной информации») и 273 УК РФ («Создание, использование и распространение вредоносных программ»).

Статья 272: Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, грозит, в частности, штрафом в размере до 200 тысяч рублей либо лишением свободы до 2 лет. То же деяние, причинившее крупный ущерб (свыше 1 миллиона рублей) или совершенное из корыстной заинтересованности, — штраф до 300 тысяч рублей либо лишение свободы до 4 лет. Если преступление совершено группой лиц по предварительному сговору либо лицом с использованием своего служебного положения – штраф до 500 тысяч рублей или лишение свободы до 5 лет.

Статья 273: Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, грозит лишением свободы на срок до 4 лет со штрафом в размере до 200 тысяч рублей. Если эти деяния повлекли тяжкие последствия или создали угрозу их наступления — лишение свободы на срок до 7 лет.

По словам Кондакова, главный риск заключается в том, что даже при наличии устной договоренности с заказчиком любое недопонимание, смена ответственного лица в компании или внутренний конфликт может привести к уголовному делу. «Доказать в суде, что проникновение в систему было санкционированным, без надлежаще оформленных документов практически невозможно. Специалист оказывается в позиции, где его благие намерения не имеют правовой защиты, а его профессиональные действия трактуются как преступление», — пояснил он.

Чтобы минимизировать эти риски, специалистам необходимо выстраивать безупречную документальную защиту, заявляет Кондаков. В частности, в договоре должны быть явно прописаны цели работ, точные границы тестирования (scope), применяемые методы и индульгенция (immunity) от судебных исков за действия в рамках соглашения. «Во-вторых, необходимо получать письменное согласие руководства компании-заказчика перед началом каждого этапа работ, это может быть отдельный документ или дополнение к договору, подписанное уполномоченным представителем», — заключил он, добавляя, что обязательным является ведение детального лога всех действий, который будет служить неоспоримым доказательством добросовестности и соблюдения оговоренных рамок.

Один из авторов отклоненного Госдумой законопроекта о регулировании деятельности «белых хакеров» Антон Немкин рассказал SecPost, что планируется внесение нового пакета законопроектов, определяющих правовой статус и правила работы пентестеров. По его словам, обсуждение этих инициатив уже ведется совместно с профильными органами власти и экспертным сообществом. Конкретные сроки внесения нового пакета законопроектов в Госдуму Немкин не назвал.