В новом пакете инициатив по противодействию мошенничеству содержится предложение запретить распространение информации о методах проведения кибератак. Представители отрасли считают, что эта норма напрямую ограничит деятельность специалистов, занимающихся поиском уязвимостей и анализом защищённости.
В опубликованных 26 августа документах говорится о поправке в статью 15.3 федерального закона «Об информации, информационных технологиях и о защите информации». Поправка предусматривает запрет на публикацию «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и программ».
Управляющий директор по работе с госорганами Positive Technologies Игорь Алексеев в беседе с «Коммерсантом» отметил, что такой запрет для специалистов равносилен запрету для токсикологов изучать описание действия отравляющих веществ. По его словам, без возможности анализировать методы атак развитие отрасли окажется под угрозой.
Директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко добавил, что деятельность исследователей и раньше находилась в зоне правовой неопределённости. Гарантией безопасности обычно служили договоры с заказчиками или участие в программах bug bounty, но при удалении или блокировке подобной информации риски для специалистов значительно возрастут.
Генеральный директор ЮК Enterprise Legal Solutions Анна Барабаш подчеркнула, что новые правила особенно опасны для сферы bug bounty, которая активно развивается. По её словам, инициатива создаёт дополнительную правовую неопределённость и может замедлить прогресс в направлении ответственного поиска уязвимостей.
В Минцифры пояснили, что цель мер — снижение рисков для государства и бизнеса. В ведомстве уточнили, что контроль за их исполнением будет возложен на Роскомнадзор и органы прокуратуры.