Все в белом: Минцифры планирует узаконить bug bounty

Все в белом: Минцифры планирует узаконить bug bounty

Все в белом: Минцифры планирует узаконить bug bounty

Ведомство намерено легализовать программу выплат “белым” хакерам. Сейчас понятия “bug bounty” в российском законодательстве нет. “Этичные” хакеры могут попасть под уголовную статью за “неправомерный доступ к компьютерной информации”.

“Специалист одного из операторов связи в Обнинске решил помочь клиентам и просканировал их сеть на уязвимости. За это его задержали сотрудники ФСБ, и сейчас он проходит по делу за неправомерное воздействие на КИИ РФ”, — суть проблемы на живом примере объясняет бизнес-консультант по безопасности Алексей Лукацкий.

О планах Минцифры перевести “охоту за багами” в правовое поле сегодня “Ведомостям” рассказал источник одной из компаний по кибербезопасности.

Реформа легализует работу исследователей, которые за деньги тестируют информационные системы на уязвимости. Сейчас их действия могут трактоваться как “неправомерный доступ к компьютерной информации” и попадать под статью 272 УК РФ.

“Отсутствие понятия bug bounty на законодательном уровне создаёт проблему”, — продолжает Лукацкий. Специалист считает, что попытку “загнать эту тему в правовое русло” можно только приветствовать.

В самом министерстве от официальных комментариев отказались.

Эксперты отмечают: легитимизация “bug bounty” позволит распространить подобные программы и возможности тестирования для государственных систем. Однако в таком случае “белым хакерам”, скорее всего, придётся взаимодействовать с ФСБ и ФСТЭК России.

“На наш взгляд, законопроект должен в первую очередь формализовать процесс работы независимых исследователей с бизнесом и госструктурами, — комментирует новость для Anti-Malware.ru Евгений Волошин, директор блока экспертных сервисов BI.ZONE. — Большинство багхантеров готово исследовать бизнес, но тестирование госструктур вызывает опасения”.

Законодательное регулирование bug bounty легализует работу с государственными организациями, обеспечит прозрачность и безопасность процесса для всех участников. Государству такие инициативы пойдут на пользу: повысят уровень доверия со стороны исследователей и кибербезопасности.

“Мы всегда открыты к диалогу по законопроектам в сфере IT и готовы принять активное участие, — продолжает Волошин. — Мы уверены, что услуги bug bounty будут развиваться и надеемся, что этот процесс станет прозрачным для всех игроков на рынке”.

Что касается Positive Technologies, в проекте The Standoff они используют “положение о конкурсах”. В нем описаны условия проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов.

Инициатива bug bounty предоставляет всем желающим возможность принять участие в поиске уязвимостей заданного типа. Поиск ведётся в продуктах или в инфраструктуре, выставленных заказчиком для теста. Объявления о таких программах обычно появляются на специальных площадках, которые становятся посредниками между хакерами-исследователями и заказчиком.

Напомним, эту тему мы обсуждали в мае на AM Live Bug Bounty - как белым хакерам заработать в России на поиске уязвимостей. Можно пересмотреть YouTube-трансляцию или почитать обзор эфира на сайте.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уровень инсайдерских утечек в промышленности снизился

Как показало регулярное исследование компании «СёрчИнформ» по оценке уровня информационной безопасности в России, в 52% промышленных компаний страны в 2024 году произошли утечки данных по вине сотрудников, что на 8% меньше, чем годом ранее (60%).

Авторы исследования отметили, что промышленные компании до сих пор ориентировались преимущественно на защиту от внешних угроз. Однако с введением новых норм, значительно усиливающих ответственность за утечки данных, включая уголовную, и с введением оборотных штрафов, мотивация компаний уделять внимание защите от внутренних угроз заметно возросла.

Исследование показало, что в 2024 году 52% промышленных компаний столкнулись с утечками данных по вине сотрудников, в то время как годом ранее этот показатель составлял 60%. Почти две трети инцидентов были случайными и происходили из-за незнания сотрудников основных норм и правил информационной безопасности.

 

«Чаще всего инциденты в сфере ИБ происходят из-за нарушений, допущенных сотрудниками. При этом большинство таких инцидентов, независимо от отрасли и масштаба бизнеса, связаны не с умышленными утечками, а с ошибками сотрудников, не обладающих достаточными ИБ-компетенциями. Повышение цифровой грамотности сотрудников поможет снизить риски нарушений и, в конечном итоге, уменьшить негативные последствия для компаний», — прокомментировал ведущий аналитик компании «СёрчИнформ» Леонид Чуриков.

В 2024 году чаще всего происходили утечки технической информации (53%) и данных о клиентах и сделках (37%). Утечки финансовой документации и персональных данных были зафиксированы в 31% и 23% промышленных компаний соответственно.

В 72% случаев причиной инцидентов стали действия линейных сотрудников или руководителей. В 23% случаев утечку спровоцировали руководители подразделений, а в 20% — высшее руководство. Каждый седьмой случай был связан с контрагентами.

Основными каналами утечек остаются электронная почта, мессенджеры и внешние накопители. На втором месте — фото на телефон, который может быть недооценен из-за сложности его контроля.

 

В случае утечки 84% компаний проводят расследование, однако лишь 26% из них уведомляют регулятора.

Кроме того, 45% промышленных компаний увеличивают ИТ-бюджеты, а 46% сохраняют их на прежнем уровне. О сокращении бюджетов сообщили только 9%. Основной причиной увеличения или сохранения ИТ-бюджетов являются потребности бизнеса.

Большая часть бюджетных средств (73%) направляется на продление лицензий, 59% — на закупку отечественного ПО и оборудования. 60% промышленных организаций используют встроенные средства ИБ в российских операционных системах, 42% — отечественные DLP-системы и NGFW. Половина опрошенных выделяет средства на оплату технической поддержки внедренных решений, а треть — на масштабирование уже существующих средств защиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru