«Белых» хакеров хотят обязать сообщать о найденных уязвимостях ФСБ и компаниям

Сообщили о доработанной версии законопроекта, регулирующего деятельность «белых» хакеров. В документ вводится единое понятие «мероприятие по поиску уязвимостей», которое охватывает коммерческие bug bounty, внутренние программы, независимые исследования без приглашения и пентесты по договорам. Регулирование предлагается передать ФСБ, ФСТЭК и НКЦКИ.

Ведомства смогут устанавливать обязательные требования: идентификацию и верификацию исследователей, аккредитацию операторов, правила обработки и защиты данных об уязвимостях, регламент уведомления правообладателей и государства. Планируется публикация списков соответствующих операторов. Работа вне аккредитированных площадок и несоответствие правилам будет запрещено. Предусмотрена обязанность сообщать о найденных уязвимостях не только владельцам ПО, но и силовым структурам. В УК РФ (ст. 274) предлагается ввести норму о преступности «неправомерной передачи уязвимостей».

В Минцифры заявили, что проект направлен на «легализацию» деятельности исследователей и может изменяться по итогам обсуждений. Предыдущая попытка законодательного оформления bug bounty была отклонена летом 2025 года.

Рынок отмечает риски деанонимизации: возможные утечки реестров, угрозы безопасности исследователей и снижение участия в программах. Эксперты также предупреждают, что обязательная передача сведений об уязвимостях государству может подтолкнуть компании и специалистов к неформальной проверке систем, чтобы избежать раскрытия чувствительной информации. Оптимальным вариантом называют смешанные модели — жесткое регулирование для госресурсов и КИИ при сохранении рыночной гибкости для коммерческих bug bounty.

Обратите внимание: Почему кассиры в «Пятёрочке» и «Магните» хитро спрашивают «Вам нужен чек?» — как отвечать для финансового комфорта