Новый пакет законопроектов о противодействии кибермошенничеству вызвал обеспокоенность специалистов по информационной безопасности. Один из пунктов предполагает запрет на распространение сведений о методах кибератак. Эксперты предупреждают: это может затруднить работу исследователей, участвующих в bug bounty-программах и легальном тестировании.
Поправки планируют внести в закон «Об информации, информационных технологиях и о защите информации». Они касаются данных, которые потенциально могут использоваться для «несанкционированного уничтожения, блокировки или модификации информации». Однако именно такие сведения нередко нужны «белым хакерам» для анализа уязвимостей и предотвращения инцидентов.
Участники рынка сравнивают инициативу с запретом медикам изучать яды или вирусы. Без доступа к информации специалисты лишаются возможности своевременно выявлять слабые места в IT-инфраструктуре. Под угрозой оказывается вся экосистема bug bounty, активно развивавшаяся в России и помогавшая бизнесу находить «дыры» до того, как их использовали настоящие злоумышленники.
Власти настаивают, что меры призваны защитить государство и бизнес, а контролировать исполнение будут Роскомнадзор и прокуратура. Но эксперты указывают на растущую правовую неопределённость: грань между исследованием и преступлением станет ещё более размытой, что рискует отпугнуть молодых специалистов в условиях усиливающегося кадрового дефицита.
