Верховна Рада України підтримала законопроєкт, розроблений Держспецзв'язку, який передбачає узаконення процедури Bug Bounty, програми для виявлення вразливостей у IT-системах за винагороду.

Парламент вніс зміни до статей 361 (несанкціоноване втручання в роботу комп'ютерів, автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку) та 361-1 (створення шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут) Кримінального кодексу України. Це дасть можливість залучити зовнішніх фахівців до пошуку помилок і вразливостей програмних продуктів.

«Завдяки ухваленим змінам втручання в роботу інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж не вважаєтиметься несанкціонованим, якщо таке втручання вчинено відповідно до порядку пошуку та виявлення потенційних вразливостей таких систем чи мереж», — розповіли в Державній службі спеціального зв'язку та захисту інформації України.

У Держспецзв'язку додали, що найближчим часом розроблять порядок та запустять систему національних Bug Bounty. «ІТ-спільнота зможе легально тестувати державні інформаційні системи на наявність вразливостей, а держава отримає інструмент для значного підвищення ступеня захисту таких систем», — йдеться в повідомленні.

Bug Bounty — програма, за допомогою якої програмісти допомагають розробникам розібратися й усунути помилки додатку, сайта, сервісу чи системи, перш ніж широка громадськість дізнається про них. Процедура Bug Bounty передбачає, що програмістів — «білих/ етичних хакерів» — позбавляють кримінальної відповідальності за атаки на ІТ-системи. За виявлення проблеми чи вразливості передбачена фінансова винагорода. 

Підхід Bug Bounty все частіше практикують державні органи в усьому світі. Пентагон у 2016 році заснував власну Bug Bounty програму. За цей час Міністерство оборони США виплатило «етичним хакерам» $330 000 за понад 300 виявлених вразливостей. У Сінгапурі в 2019 році за 26 виявлених вразливостей уряд виплатив багхантерам $11 750. Apple платить хакерам до $200 тисяч за кожну виявлену у своїх продуктах помилку, а компанія Facebook впродовж 5 років виплатила «білим» хакерам близько $5 мільйонів. В Україні з «білими хакерами» співпрацює Міністерство цифрової інформації та платформа електронних закупівель Prozorro.

Після кібератаки на близько 70 сайтів органів влади України в ніч на 14 січня, зокрема, портали Міністерства освіти та науки, Міністерства закордонних справ, Міністерства у справах ветеранів, Міністерства енергетики, Державної служби з надзвичайних ситуацій та «Дії», Державна служба спеціального зв'язку та захисту інформації України вирішила внести невідкладні зміни в українське законодавство для узаконення процедури Bug Bounty, програми для виявлення вразливостей у IT-системах за винагороду.

Фото: Michael Dziedzic / Unsplash