КиберСек

Новости Кибербезопасности

Метка: vulnerability disclosure

  • Предложения сенаторов по легализации белых хакеров

    Предложения сенаторов по легализации белых хакеров

    В Совете Федерации предложили разрешить специалистам работать с владельцами информационных систем и сообщать им о проблемах без опасности быть преследуемыми по закону. Это предложение содержится в письме первого заместителя председателя Комитета Совета Федерации по законодательству и государственному строительству Артема Шейкина заместителю министра цифрового развития Ивану Лебедеву. Документ датирован 25 марта.

    Предложение включает обязательство для владельцев информационных систем размещать форму для сообщений об обнаруженных проблемах. Для идентификации специалистов предлагается использовать специальную систему. Также предлагается официально разрешить специалистам сообщать о проблемах и передавать информацию владельцам систем. Этот способ сотрудничества должен быть закреплен наряду с другими моделями сотрудничества.

    В Госдуме уже обсуждается законопроект о разрешении работы специалистов по поиску проблем в системах. В Минцифры сообщили, что изучают предложения. Ведомство заинтересовано в правовом регулировании деятельности специалистов для обеспечения безопасности систем, но многие вопросы остаются неурегулированными.

    Создание реестра специалистов вызвало разные мнения. Некоторые считают, что это усложнит вход в профессию, другие опасаются попасть в санкционные списки. Однако некоторые считают, что реестр поможет специалистам работать и оценивать их способности.

  • Открытие уязвимости в Британии — риск заключения

    Открытие уязвимости в Британии — риск заключения

    Исследователи по компьютерной безопасности в Великобритании, которые сообщают о найденных проблемах в системах Министерства внутренних дел (МВД), могут быть подвергнуты уголовной ответственности.

    МВД запустило платформу на HackerOne для сообщения об уязвимостях, но без вознаграждений. Исследователям запрещается вмешиваться в работу системы или получать доступ к данным.

    Однако поиск уязвимостей должен соблюдать законы, что может препятствовать легальным исследованиям. Закон 1990 года криминализует несанкционированный доступ к компьютерам.

    Организация CyberUp предупреждает, что отсутствие правовой защиты может привести к уголовному преследованию исследователей. Пока МВД не дает гарантий защиты.

    Британские законы нуждаются в обновлении, чтобы защитить действия исследователей. В других странах уже приняли такие меры, а Великобритания отстает.