22.10.2025

Российские СМИ сообщили о предложении передать контроль над деятельностью белых хакеров Федеральной службе безопасности (ФСБ), Федеральной службе по техническому и экспортному контролю (ФСТЭК) и Национальному координационному центру по компьютерным инцидентам (НКЦКИ). Ведомства смогут устанавливать обязательные требования для специалистов в сфере информационной безопасности, а тем, кто не удовлетворяет этим нормам, будет запрещено участвовать в поиске уязвимостей. Более того, любые обнаруженные уязвимости белые хакеры должны будут сообщать не только компаниям (их должен знать it-юрист компании), но и спецслужбам.

В обновлённой версии законопроекта о легализации деятельности белых хакеров вводится термин «мероприятие по поиску уязвимостей», который охватывает все формы работы в данной области, стирая существующие разделения в отрасли. Под этот термин подпадают:

- коммерческие bug bounty программы, где компании платят независимым исследователям за выявленные уязвимости через специализированные платформы;

- внутренние bug bounty, проводимые силами сотрудников компании для анализа собственной инфраструктуры;

- независимые исследования одиночных хакеров, изучающих программное обеспечение без официального приглашения;

- пентесты (тестирование на проникновение), организованные по договоренности между компаниями-клиентами и подрядчиками.

Новые положения предполагают строгую регламентацию ключевых направлений работы белых хакеров, независимо от того, относятся ли мероприятия к коммерческим программам, внутренним исследованиям бизнеса или критически важным объектам государственной инфраструктуры. Среди предложенных инициатив выделяется обязательная идентификация и верификация специалистов, аккредитация организаций, работающих с уязвимостями, и установление стандартов обработки данных. Также регламентируется передача информации о проблемах безопасности владельцам ресурсов и органам госвласти.

Согласно источникам, списки операторов и платформ для bug bounty, соответствующих требованиям регулирующих органов, будут публично размещаться на сайтах силовых ведомств. Работу хакеров вне аккредитованных площадок или компаний, нарушающих утверждённые нормы, предложено запретить. Кроме того, закон обяжет хакеров при обнаружении уязвимостей сообщать об этом не только владельцу программного обеспечения, но и государственным структурам. За несоответствие правилам передачи данных об уязвимостях в статье 274 Уголовного кодекса («Нарушение правил эксплуатации компьютерной информации») может быть введена ответственность за неправомерные действия.

По словам представителя Минцифры, министерство ведёт активное обсуждение законопроекта с отраслью и депутатами Госдумы. Однако предложений по созданию единого реестра белых хакеров пока не поступало. В ведомстве подчеркнули, что целью изменений является легализация деятельности белых хакеров с минимизацией возможных рисков для их работы. Проект закона будет дорабатываться с учётом мнений экспертного сообщества и заинтересованных ведомств вплоть до принятия и подписания документа президентом. 12 декабря 2023 года в Госдуму РФ поступил законопроект № 509708-8, подразумевающий внесение изменений в статью 1280 четвертой части Гражданского кодекса Российской Федерации. Документ ставил перед собой задачу легализовать деятельность «белых» хакеров в стране. В августе 2024 года СИТ сообщили о намерении профильных государственных ведомств – Минцифры, ФСБ и МВД – организовать специальный реестр для легализации работы таких специалистов. Однако в IT-сообществе инициативу подвергли критике, полагая, что информация о специалистах по информационной безопасности, которые занимаются выявлением уязвимостей IT-инфраструктуры, может стать интересной как для злоумышленников, так и для зарубежных спецслужб. В июле 2025 года данный законопроект был отклонен Госдумой. Причиной отказа стало отсутствие учета положений, связанных с государственной тайной и защитой критической инфраструктуры. Минцифры продолжает готовить новые предложения касательно требований к выявлению уязвимостей и ответственности за несоблюдение этих положений. Как отмечают эксперты, подобная задача всегда сопровождается сложностями: грань между законной деятельностью и уголовными правонарушениями крайне тонка, как и ответственность между исследователем и владельцем системы. При этом корректировка Уголовного кодекса пока не предусмотрена.

Представители IT-безопасности подтверждают, что некоторые действия могут быть интерпретированы как неправомерный доступ к информации пентестерами или распространение белыми хакерами вредоносного ПО – оба нарушения несут потенциальное наказание до семи лет лишения свободы. В рамках совещания по поправкам в УК в ноябре 2023 года Генпрокуратура, МВД и Следственный комитет выступили против легализации деятельности «белых» хакеров, несмотря на обсуждения вывода их работы из категории уголовно наказуемой при условии выполнения заданий заказчика. Кроме того, в июне 2023 года Минцифры запустило бесплатный онлайн-курс «Профессия – белый хакер», пояснив значимость специалистов в области IT-безопасности, их роль в защите интересов государства и бизнеса, а также участие в инициативах вроде пентестов или программ Bug Bounty. Специалисты могут получать денежные вознаграждения за найденные уязвимости на специализированных платформах, таких как BI.ZONE Bug Bounty или Standoff 365.

Тема уголовной ответственности для тех, кто занимается кибербезопасностью остается наиболее спорной. Усиление атак так называемых «черных» хакеров часто приводит к значительному ущербу для компаний, а борьбы с ними зачастую достигают усилиями «белых» хакеров – или, как говорят некоторые эксперты, «этичных исследователей».

IT-юристы советуют тщательно соблюдать правила работы, чтобы не перейти грань дозволенного:

1. Внимательно изучать условия программ Bug Bounty или договор на проведение пентеста – в них четко прописаны рамки действий и обязательства.

2. Всегда получать официальное согласие на выполнение поиска уязвимостей от уполномоченных лиц.

3. Уточнять все детали программы или договора с заказчиком.

4. Не совершать действий, выходящих за пределы установленных программой или договором условий. Нарушение этих границ влечет за собой риски уголовной ответственности.

5. Осмотрительно обращаться с персональными данными. Если программа требует скачивания баз данных с такими сведениями, стоит рассмотреть возможность доказательства наличия доступа без устранения конфиденциальности.

6. Не хранить результаты работы дольше срока, установленного соглашением.

7. Сохранять документальное подтверждение приемки выполненных услуг со стороны заказчика – это подтверждает законность действий.

8. Строго соблюдать положения конфиденциальности и не делиться материалами пентестов или Bug Bounty с третьими лицами, за исключением случаев, прямо предусмотренных условиями договора.

Основой для работы в этой сфере остается четкое следование правилам и исключительная осмотрительность во всех аспектах взаимодействия с данными и заказчиками. Еще каких-то несколько десятилетий назад, например, в США люди жили куда более беспечно – соседи даже не закрывали двери своих домов. Сегодня ситуация изменилась: двери редко остаются незапертыми, а в большинстве домов установлены охранные системы, чтобы защитить свою собственность. Владельцы домов предполагают, что где-то в тени может притаиться злоумышленник, дожидающийся удобного момента использовать их беспечность. Компании, владеющие веб-сайтами и информационными системами, всё больше осознают схожую реальность. Они понимают, что в виртуальном пространстве тоже есть те, кто патрулирует их «район», выжидая подходящего момента для вторжения: взлома баз данных или хищения информации о клиентах. Кроме того, черные хакеры нередко ставят своей целью незаконное внедрение вредоносного ПО, которое позволяет шпионить за сотрудниками или отслеживать действия клиентов. Несмотря на постоянную работу белых хакеров, которые по заказу компаний проверяют уязвимости их информационных систем, организациям всё равно критически важно заблаговременно предпринимать все возможные меры защиты. Это включает установку и регулярное обновление антивирусных программ, инструментов для удаления шпионского ПО и надежной брандмауэрной защиты. На кону стоят не только эффективность бизнес-процессов, но и конфиденциальность персональных данных клиентов. Больше того, доверие потребителей к компании – основа ее репутации, которая может оказаться под угрозой.