Все в белом: Минцифры планирует узаконить bug bounty

Все в белом: Минцифры планирует узаконить bug bounty

Все в белом: Минцифры планирует узаконить bug bounty

Ведомство намерено легализовать программу выплат “белым” хакерам. Сейчас понятия “bug bounty” в российском законодательстве нет. “Этичные” хакеры могут попасть под уголовную статью за “неправомерный доступ к компьютерной информации”.

“Специалист одного из операторов связи в Обнинске решил помочь клиентам и просканировал их сеть на уязвимости. За это его задержали сотрудники ФСБ, и сейчас он проходит по делу за неправомерное воздействие на КИИ РФ”, — суть проблемы на живом примере объясняет бизнес-консультант по безопасности Алексей Лукацкий.

О планах Минцифры перевести “охоту за багами” в правовое поле сегодня “Ведомостям” рассказал источник одной из компаний по кибербезопасности.

Реформа легализует работу исследователей, которые за деньги тестируют информационные системы на уязвимости. Сейчас их действия могут трактоваться как “неправомерный доступ к компьютерной информации” и попадать под статью 272 УК РФ.

“Отсутствие понятия bug bounty на законодательном уровне создаёт проблему”, — продолжает Лукацкий. Специалист считает, что попытку “загнать эту тему в правовое русло” можно только приветствовать.

В самом министерстве от официальных комментариев отказались.

Эксперты отмечают: легитимизация “bug bounty” позволит распространить подобные программы и возможности тестирования для государственных систем. Однако в таком случае “белым хакерам”, скорее всего, придётся взаимодействовать с ФСБ и ФСТЭК России.

“На наш взгляд, законопроект должен в первую очередь формализовать процесс работы независимых исследователей с бизнесом и госструктурами, — комментирует новость для Anti-Malware.ru Евгений Волошин, директор блока экспертных сервисов BI.ZONE. — Большинство багхантеров готово исследовать бизнес, но тестирование госструктур вызывает опасения”.

Законодательное регулирование bug bounty легализует работу с государственными организациями, обеспечит прозрачность и безопасность процесса для всех участников. Государству такие инициативы пойдут на пользу: повысят уровень доверия со стороны исследователей и кибербезопасности.

“Мы всегда открыты к диалогу по законопроектам в сфере IT и готовы принять активное участие, — продолжает Волошин. — Мы уверены, что услуги bug bounty будут развиваться и надеемся, что этот процесс станет прозрачным для всех игроков на рынке”.

Что касается Positive Technologies, в проекте The Standoff они используют “положение о конкурсах”. В нем описаны условия проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов.

Инициатива bug bounty предоставляет всем желающим возможность принять участие в поиске уязвимостей заданного типа. Поиск ведётся в продуктах или в инфраструктуре, выставленных заказчиком для теста. Объявления о таких программах обычно появляются на специальных площадках, которые становятся посредниками между хакерами-исследователями и заказчиком.

Напомним, эту тему мы обсуждали в мае на AM Live Bug Bounty - как белым хакерам заработать в России на поиске уязвимостей. Можно пересмотреть YouTube-трансляцию или почитать обзор эфира на сайте.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В 1 квартале 2025 года хакеры усилили DDoS-атаки на API российских компаний

В первом квартале 2025 года хакеры стали заметно активнее атаковать российские компании с помощью DDoS-атак на API. По данным StormWall, число таких атак выросло на 135% по сравнению с аналогичным периодом прошлого года и на 78% по сравнению с четвёртым кварталом 2024-го.

Особенно сильно пострадали компании из ретейла, телеком и финансов. В ретейле количество атак увеличилось сразу на 162%, в телекоммуникациях — на 128%, а в финансовом секторе — на 114%. Логистика и развлекательная сфера также попали под удар, но рост там был менее резким — 37% и 21% соответственно.

Почему хакеры атакуют API

Основная цель таких атак — вымогательство. Злоумышленники перегружают серверы, которые обрабатывают запросы к API, из-за чего сервисы становятся недоступны для пользователей. Это приводит к сбоям, потерям клиентов, плохому пользовательскому опыту и, конечно, убыткам.

API становятся удобной мишенью — всё больше компаний строят свои сервисы по принципу API First, где вся логика взаимодействия завязана именно на API-интерфейсах. Но при этом не все успевают обеспечить должную защиту.

Особенно тяжело пришлось ретейлу

На долю ретейла пришлось 42% всех DDoS-атак на API в первом квартале. Это совпало с периодом активных праздников — 23 февраля и 8 марта, когда интернет-магазины работали на пике. В это время атаки наносили особенно серьёзный ущерб — приводили к сбоям и потерям прибыли в самый загруженный сезон.

«В настоящее время атаки на API являются наиболее серьезной угрозой для ряда ключевых отраслей российской экономики. Мы видим, что подобных атак с каждым днем становится все больше, и их число будет расти. Для хакеров атаки на API являются новым способом быстро заработать, и с его помощью они будут стремиться получить максимальный результат», — отметил Рамиль Хантимиров, CEO и сооснователь StormWall.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru