Появилась обновлённая редакция законопроекта о легализации «белых» хакеров — в ней предложено передать контроль над их деятельностью в ведение силовых структур. Об этом сообщает РБК со ссылкой на двух собеседников в государственных органах и в сфере информационной безопасности.
Согласно тексту проекта, функции регулирования всех «мероприятий по поиску уязвимостей» планируется сосредоточить у ФСБ, ФСТЭК и Национального координационного центра по компьютерным инцидентам. Силовые ведомства получат полномочия вводить обязательные требования ко всем видам исследовательской деятельности, связанной с поиском уязвимостей.
Законопроект вводит единое определение «мероприятия по поиску уязвимостей», под которое попадут коммерческие bug‑bounty-программы, внутренняя корпоративная аналитика, независимые аудиты и пентесты. По словам источников издания, это нивелирует существующее в отрасли разделение между различными форматами работы.
Ведомствам предоставят право устанавливать правила идентификации и верификации «белых» хакеров, аккредитации площадок и организаций, а также порядок обработки сведений об уязвимостях. Реестры операторов, соответствующих критериям, будут публиковаться на официальных сайтах силовых структур. Работа вне аккредитованных платформ и деятельность компаний, не соблюдающих установленные требования, предлагается запретить.
Обнаружившие уязвимость обязуют информировать не только правообладателя программного обеспечения, но и указанные силовые органы. За «неправомерную передачу уязвимостей» в проекте предусмотрена уголовная ответственность по статье 274 УК РФ.
Также обсуждается создание государственного реестра «белых» хакеров. Представитель Минцифры заявил, что ведомство «ведёт диалог с отраслью», однако на сегодня официальных предложений по реестру в министерство не поступало.
Эксперты оценили инициативу критически, особенно идею реестра. Проджект‑менеджер MD Audit Кирилл Левкин предупреждает, что обязательная идентификация повышает риски для исследователей: деанонимизация способна сократить число участников bug‑bounty‑программ.
Представитель одной из российских bug‑bounty‑платформ указал на угрозу утечек данных из такого реестра. По его мнению, потеря анонимности подтолкнёт часть хакеров в «серую» зону — из‑за возможных последствий, включая ограничения на въезд в другие страны, преследования и попытки вербовки со стороны иностранных спецслужб.
Директор Центра исследования киберугроз Angara Security Сергей Гилев охарактеризовал текущую версию документа как «довольно жёсткую» и отметил риск задержаний «белых» хакеров за рубежом и введения ограничений на поездки.
Попытки урегулировать деятельность «белых» хакеров ведутся с 2022 года. В декабре 2023 года группа депутатов внесла в Госдуму соответствующий законопроект — его приняли в первом чтении, но летом 2025 года документ отклонили, указывая на то, что проект не учитывает особенности информационного обеспечения работы государственных органов.