«Белым» хакерам грозит до 5 лет тюрьмы за слив данных об уязвимостях — новый законопроект

Наказание за слив информации об уязвимостях

SecPost ознакомился с новым пакетом законопроектов о регулировании деятельности «белых» хакеров, который уже готовится к внесению в Госдуму (копия законопроектов есть у SecPost). В частности, один из документов вносит изменения в Уголовный кодекс РФ. Появляется новая статья — неправомерная передача информации об уязвимостях сайта или страницы сайта в интернете, информационной системы, программы для ЭВМ, которые могут быть использованы для несанкционированного доступа к информации, ее уничтожения, модифицирования, распространения, блокирования, копирования, предоставления. Оригинальность данной редакции законопроекта подтвердил источник SecPost, знакомый с его разработкой.

Виновным по этой статье, в частности, грозит штраф до 1 миллиона рублей или лишение свободы сроком до трех лет. Если суд решит, что к сливу данных причастна группа лиц по предварительному сговору или организованная группа, а также если причинен крупный ущерб или тяжкие последствия, то это уже грозит лишением свободы на срок от трех до пяти лет. Это касается и случаев, когда будет доказано, что преступление совершили из корыстных побуждений.

В пояснительной записке к законопроекту указано, что с начала СВО иностранные спецслужбы и аффилированные с ними хакерские сообщества «превратили информационное пространство РФ в полигон для отработки методов и средств компьютерного нападения». 

«Реализация указанных угроз идет в основном через добывание информации об уязвимостях информационных ресурсов Российской Федерации, в первую очередь, значимых объектов критической информационной инфраструктуры», — говорится в пояснении к законопроекту.

Предварительное следствие по этим преступлениям будут вести следователи ФСБ.

В пресс-службе Минцифры РФ в ответ на запрос SecPost не исключили, что редакция законопроекта до итогового рассмотрения и подписания президентом может претерпеть изменения «с учетом обсуждения предложений отрасли и заинтересованных ведомств».

«Что касается рисков привлечения таких специалистов к работе по улучшению ИТ-инфраструктуры, именно для этого проработка законопроекта проходит в постоянном диалоге государства и отрасли, чтобы получить наибольший эффект от деятельности независимых исследователей, обладающих специальными знаниями, и при этом обеспечить необходимые меры безопасности, а также соблюсти интересы владельцев ИТ-инфраструктуры», — отметили в пресс-службе.

Напомним, законопроект о деятельности таких специалистов был внесен на рассмотрение Госдумы 12 декабря 2023 года. Осенью 2024 года он был принят в первом чтении, но после был поставлен на паузу. В ходе второго чтения, уже в июле 2025 года, законопроект был отклонен по рекомендации комитета Госдумы по государственному строительству и законодательству. В заключении комитета было, в частности, указано, что документ не учитывает особенности защиты гостайны и КИИ. Как отмечал один из авторов законопроекта, член комитета по информационной политике Госдумы Антон Немкин, Россия нуждается в системном правовом механизме, который позволит развивать культуру ответственного поиска уязвимостей и при этом защитит государственные и частные системы от недобросовестных действий. Как ранее писал РБК со ссылкой на источники, в новом законопроекте регулирование всех «мероприятий по поиску уязвимостей» планируется полностью передать в ведомство ФСБ, ФСТЭК и Национальному координационному центру по компьютерным инцидентам (НКЦКИ).

Госрегулирование работы «белых» хакеров

Согласно новым законопроектам роль ФСБ не будет ограничиваться только предварительным следствием по незаконной передаче данных об уязвимостях.

ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработают правила организации и проведения санкционированных «хакерских атак». Речь идет о требованиях к «белым» хакерам, порядку их идентификации и аутентификации в целях привлечения к проведению таких мероприятий, требованиях к информационным системам, используемым для привлечения тестировщиков, и их операторам, порядку и срокам направления информации об уязвимостях информресурсов в службы.

Кроме того, ФСБ и ФСТЭК могут получить право устанавливать особенности проведения мероприятий по выявлению уязвимостей. Это касается министерств, региональных властей, госфондов, государственных корпораций, стратегических предприятий и акционерных обществ, системообразующих организаций российской экономики, а также юрлиц – субъектов критической информационной инфраструктуры.

Списки операторов, которые соответствуют необходимым требованиям, будут публиковаться на сайтах ФСТЭК и Национального координационного центра по компьютерным инцидентам (НКЦКИ). В случае принятия законопроекта также появится обязанность для «белых» хакеров, кто обнаружил уязвимость, сообщать о ней не только владельцу информресурса, но и ФСБ.

Предполагается, что пакет законопроектов вступит в силу с 1 марта 2026 года. Дата продиктована тем, что к этому сроку должен появиться приказ ФСБ и ФСТЭК об утверждении правил организации и проведения мероприятий по выявлению уязвимостей информационным ресурсов.

Как отреагировал рынок

Архитектор информационной безопасности UserGate Дмитрий Овчинников видит в законопроектах рациональное зерно в виде требований по сертификации лиц, которые будут проводить мероприятия по выявлению уязвимостей на объектах КИИ, в государственных корпорациях и информационных системах. «Сейчас у компаний, которые оказывают такого рода услуги, есть только сертификация от ФСТЭК или ФСБ, но формально, подтвердить экспертность своих сотрудников, выполняющих данную работу, они не могут», — объяснил специалист.

По его мнению, такая сертификация позволит выставить определенные критерии для тестировщиков. При этом, если количество сертифицированного персонала будет недостаточно, то подобная сертификация может стать формальной процедурой, «когда сертификат будут просто выдавать». «Или будет распространен метод, когда один специалист с сертификатом будет работать в нескольких компаниях, а от его лица работу будут выполнять другие сотрудники», — добавил он.

Потенциальное создание единого реестра «белых» хакеров может крайне негативно сказаться на данной инициативе, «так как включение ИБ-специалиста в подобный реестр может вызвать разные жизненные неудобства, которые сейчас сложно спрогнозировать», отметил специалист.

Директор департамента методологии информационной безопасности «Ростелекома» Михаил Савельев уверен, что предлагаемые изменения в закон не окажут никакого влияния на рынок. «Те, кто официально занимается анализом защищённости, и без того являются лицензиатами ФСТЭК России и тесно взаимодействуют с НКЦКИ», — отметил он.

По его словам, предъявление квалификационных требований — скорее ожидаемое событие: после ухода из России западных систем сертификации специалистов подтвердить свою квалификацию стало сложнее.

В «Мегафоне» считают, что рынок в целом готов перейти на новые условия работы. При этом представитель компании отметил, что крупные игроки уже соответствуют большинству предполагаемых требований, а «небольшие команды смогут интегрироваться в систему при наличии понятных инструкций». «По нашим оценкам, после введения новых правил рынок не сократится, потому что открытый реестр повысит прозрачность и доверие клиентов, а стандартизация привлечёт новых заказчиков из госсектора и крупного бизнеса», — добавил он.

Патентный поверенный UserGate Александр Киселев обращает внимание, что несвоевременное отнесение результатов работы «белых» хакеров к коммерческой тайне ведет к возможности бесконтрольного распространения результатов тестирования. По его словам, в законе обязательно должны быть определены типы ресурсов, информация об уязвимостях которых относится к государственной тайне.

«Персональные данные о лицах, выявивших такие уязвимости по договору, должны быть также отнесены к государственной тайне. То есть, белый хакер под ником «Кулхацкер», взломавший по госзаказу государственный ресурс, не имеет права связывать свои персональные данные, в том числе ник, с проведенной работой», — сказал Киселев.