В Госдуме рассказали о формировании правил для "белых хакеров"

МОСКВА, 9 июн — РИА Новости.

Вопрос регулирования деятельности так называемых «белых хакеров», которые помогают находить уязвимости в ИТ-инфраструктуре и повышать уровень кибербезопасности, продолжает прорабатываться на уровне правительства. По словам члена комитета Госдумы по информационной политике, федерального координатора проекта «Цифровая Россия» партии «Единая Россия» Антона Немкина, обновленный пакет документов уже находится на рассмотрении и был скорректирован с учетом предложений отрасли и мнения экспертов.

Он отметил, что в сфере кибербезопасности особенно важно не только реагировать на угрозы, но и выстраивать понятные механизмы для их раннего выявления. В этой связи, по его словам, необходимо обновлять подходы к регулированию, формировать полноценную экосистему и создавать инструменты, которые позволят проводить публичное тестирование информационных систем в безопасном и контролируемом формате. Такие меры, считает Немкин, помогут сделать работу специалистов по поиску уязвимостей более прозрачной и эффективной.

«Сейчас в правительстве находится доработанный пакет документов, учитывающий позицию отрасли и экспертного сообщества. Рассчитываем, что он позволит в ближайшее время выйти на сбалансированное регулирование», — сказал Немкин. По его мнению, принятие таких решений станет важным шагом для развития цифровой экономики и укрепления защиты российских ИТ-систем от возможных атак.

В современных условиях, когда количество кибератак продолжает расти, особенно важно заранее находить слабые места в цифровых системах и устранять их до того, как ими воспользуются злоумышленники. Именно поэтому белые хакеры, или пентестеры, сегодня играют ключевую роль в обеспечении кибербезопасности.

Он подчеркнул, что такие специалисты являются важнейшим инструментом для выявления уязвимостей в ИТ-инфраструктуре еще до того, как их обнаружат и начнут использовать злоумышленники. По его словам, в любой системе со временем могут появляться скрытые ошибки и недочеты, которые не всегда заметны даже опытным сотрудникам. Иногда организациям необходим взгляд со стороны, чтобы объективно оценить уровень защищенности своих ресурсов. Именно эту функцию и выполняют этичные хакеры, выступая в роли независимых внешних аудиторов, способных проверить систему без конфликта интересов.

Немкин отметил, что даже штатные специалисты по кибербезопасности, несмотря на высокий уровень подготовки, могут не замечать отдельных проблем в собственной работе, поскольку привыкают к внутренним процессам и архитектуре систем. В такой ситуации свежий профессиональный взгляд помогает выявить риски, которые могли остаться незамеченными при стандартных проверках. Кроме того, работа пентестеров позволяет не только обнаруживать уязвимости, но и оценивать, насколько эффективно выстроены процессы защиты в целом, а также насколько быстро организация способна реагировать на потенциальные угрозы.

По словам депутата, только за 2025 год белые хакеры нашли почти 14 тысяч уязвимостей в информационных системах российских компаний и государственных структур. При этом развитию данного направления мешает отсутствие полноценного правового регулирования, из-за чего возникают вопросы как у самих специалистов, так и у организаций, которые хотели бы пользоваться их услугами. Эксперты считают, что создание понятных правил работы для этичных хакеров могло бы значительно повысить уровень защищенности цифровой инфраструктуры и сделать взаимодействие между бизнесом, государством и исследователями безопасности более прозрачным и эффективным.

Вопрос разграничения между пентестерами и злоумышленниками остается особенно сложным, поскольку на практике они нередко используют схожие методы, инструменты и технические подходы. При внешнем рассмотрении их действия могут выглядеть почти одинаково, и именно это создает дополнительную правовую и организационную неопределенность.

"Сложность заключается в том, что с точки зрения действий и используемых инструментов пентестеры зачастую мало отличаются от злоумышленников. Разница возникает фактически на последнем этапе. Именно поэтому сегодня идет непростой разговор о критериях разграничения и о том, как отделить одних от других", - пояснил он.

При этом ситуация осложняется тем, что в ряде случаев профессиональная деятельность специалистов по тестированию на проникновение частично пересекается с зонами, которые могут вызвать подозрения у правоохранительных органов. Это вполне объяснимо, поскольку любые несанкционированные или недостаточно четко регламентированные действия в цифровой среде могут восприниматься как угроза. Законодатели разделяют такую обеспокоенность, однако одновременно подчеркивают необходимость учитывать практическую ценность работы этичных хакеров.

Дополнительный вызов, как подчеркнул парламентарий, состоит в том, что в ряде случаев эти среды частично пересекаются, что вызывает понятную обеспокоенность правоохранительных органов, которую законодатели разделяют, но важно понимать и ту огромную пользу, которую этичные хакеры способны приносить для обеспечения кибербезопасности, в том числе на объектах критической информационной инфраструктуры.

Именно поэтому все чаще обсуждается необходимость более четких правил, прозрачных критериев и понятных юридических рамок, которые позволят отличать добросовестное тестирование от противоправной активности. Такой подход помогает одновременно снижать риски для государства и бизнеса, а также создавать условия, при которых эксперты по кибербезопасности смогут эффективно выявлять уязвимости до того, как ими воспользуются реальные атакующие.

Источник и фото - ria.ru