Законопроект, призванный легализовать деятельность независимых специалистов по информационной безопасности, прошел первое чтение в Госдуме. Авторами проекта выступили представители проекта «Цифровая Россия» Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев.
Как отметил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин, треть российских компаний подвергаются атакам хакеров минимум раз в месяц. Только за первую половину 2024 года количество DDoS-атак на российские организации выросло до 355 тысяч, что на 16% больше, чем за весь 2023 год. При этом под ударом зачастую оказываются объекты критической информационной инфраструктуры. Например, в сентябре этого года количество DDoS-атак на телеком-компании выросло на 74%. Напомним, в октябре масштабной атаке подвергся один из крупнейших провайдеров в Новосибирске — компания «Новотелеком». Для восстановления работы у оператора ушла почти неделя.
— К работе штатных ИТ-специалистов необходимо подключить независимых профессионалов (пентестеров), которые будут систематически проводить аудит защищенности, — подвел итог Немкин. — Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам.
Легализовать работу пентестеров депутаты планируют путем внесения поправок в статью 1280 Гражданского кодекса. Цель нового законопроекта — вывести из тени так называемых белых хакеров, предоставив им доступ к программам, входящим в состав информационной системы. Таким образом, они получат право изучать, исследовать или испытывать функционирование программы для электронно-вычислительных машин (ЭВМ) или базы данных.
— Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов, — уточняют авторы проекта.
При этом, пентестерам нельзя будет передавать информацию о выявленных недостатках третьим лицам, за исключением правообладателя. Законопроект также уточняет, что о выявленных недостатках безопасного использования программы для ЭВМ необходимо сообщить о них правообладателю в течение пяти рабочих дней.
Президент ассоциации «СибАкадемСофт» Ирина Травина уверена, что новый законопроект станет отличной профилактикой для системных взломов информационных сервисов.
— В мировой практике такой подход к защите информационного пространство используется достаточно давно, — уточнила она. — Еще в 2022 году на Международном форуме об этом рассказывали наши индийские коллеги. Это действительно работает очень эффективно. Люди, которые взламывают системы наглядно демонстрируют их уязвимые места.
Ранее редакция сообщала о том, что сервисы ВГТРК оказались под атакой хакеров.