Госдума поддержала в первом чтении законпроект о проверке ПО на уязвимости без согласия разработчиков

Государственная Дума Российской Федерации приняла в первом чтении законопроект, который позволит тестировщикам программного обеспечения (ПО) проверять его на уязвимости без предварительного согласия разработчиков, сообщает "Парламентская газета". Законопроект предусматривает возможность для компаний нанимать специалистов по информационной безопасности, известных как "белые хакеры", для выявления и устранения потенциальных угроз в системах безопасности. Важно отметить, что информация об обнаруженных уязвимостях будет передаваться разработчикам ПО только в том случае, если они не находятся в странах, признанных недружественными по отношению к России.

Антон Немкин, член Комитета по информационной политике, информационным технологиям и связи, подчеркнул важность этого законопроекта в контексте текущей «информационной войны». По его словам, «37 процентов отечественных компаний сталкиваются с компьютерными атаками один раз в месяц», а за первую половину 2024 года было зафиксировано уже 350 тысяч атак, что на 16% превышает показатели за весь предыдущий год.

Немкин сравнил работу «пентестеров» (специалистов по тестированию на проникновение) с независимым финансовым аудитом или сторонними юридическими проверками. Он подчеркнул необходимость «систематически проводить независимый аудит защищенности систем при помощи независимых профессионалов по информационной безопасности».

Законопроект предлагает внести изменения в Гражданский кодекс РФ, позволяющие законным владельцам или пользователям программ изучать, исследовать или тестировать их функционирование без получения многочисленных разрешений от правообладателей, передаёт Securitylab. Это значительно упростит процесс выявления уязвимостей, который в настоящее время может рассматриваться как нарушение авторских прав, влекущее за собой штрафы от 10 тысяч до 5 миллионов рублей.

Для защиты интересов разработчиков ПО законопроект запрещает передачу информации о выявленных недостатках третьим лицам. «Белые хакеры» обязаны сообщить о найденных уязвимостях правообладателю в течение пяти рабочих дней, за исключением случаев, когда правообладатель является представителем недружественного государства.

Антон Ткачев, первый заместитель председателя IT-комитета Госдумы, отметил, что новый закон позволит покупателям ПО «проверить качество продукта в законной плоскости», что особенно важно в контексте сложных современных информационных систем.

Анатолий Вассерман, член Комитета по просвещению и бывший программист, сравнил поиск и устранение уязвимостей с ремонтом автомобиля или подгонкой одежды, подчеркнув «жизненную необходимость» таких действий для обеспечения безопасности программных комплексов.

Законопроект рассматривается как ответ на растущую угрозу кибератак, многие из которых, по словам Немкина, финансируются недружественными странами. Цель этих атак — получение персональных данных граждан и вывод из строя критически важных систем.Ирина Яровая, вице-спикер Госдумы, выразила озабоченность возможным влиянием изменений на защиту важных баз данных. Однако разработчики законопроекта заверили, что риски минимальны, так как изучать ПО смогут только его законные владельцы.

В заключение Вассерман предложил разработчикам и покупателям ПО использовать программы с открытым исходным кодом как более безопасную альтернативу.