В ряде западных стран на государственном уровне формируется подход, предполагающий смягчение ответственности для специалистов, занимающихся исследованием уязвимостей и тестированием защищённости цифровых систем. Одним из наиболее заметных шагов стала инициатива Португалии, где были внесены изменения в национальное законодательство о киберпреступности.
Поправки предусматривают освобождение исследователей ИБ и так называемых этичных хакеров от уголовного преследования при соблюдении ряда условий. Законодатели исходят из того, что подобная деятельность способствует укреплению кибербезопасности и позволяет своевременно выявлять критические слабые места в инфраструктуре.
Принятые изменения формируют юридическое исключение для действий, которые ранее могли квалифицироваться как противоправные. Основанием для применения такого режима служит направленность работы на поиск уязвимостей либо повышение уровня защищённости цифровых продуктов и сервисов. При этом освобождение от ответственности не является безусловным и требует строгого соответствия установленным критериям.
Для подпадания под действие нового режима специалисты обязаны отказаться от получения экономической выгоды в рамках проводимых исследований. Дополнительно требуется полное соблюдение законодательства о защите персональных данных. Любые действия, затрагивающие частную информацию пользователей, выводят исследователя за рамки правового исключения.
Подобные подходы формируются не только в Португалии. В последние годы Германия и Соединённые Штаты также предприняли шаги, направленные на снижение правовых рисков для этичных хакеров. В ноябре 2024 года Министерство юстиции Германии представило проект закона, предусматривающий защиту пентестеров, которые добросовестно сообщают поставщикам о выявленных недостатках. Законопроект исходит из принципа добросовестности и ориентирован на стимулирование ответственного раскрытия информации.
В США аналогичные изменения были реализованы ранее. В 2022 году Министерство юстиции пересмотрело практику применения Закона о компьютерном мошенничестве и злоупотреблениях. В обновлённой политике было прямо зафиксировано исключение для добросовестных исследований в сфере безопасности, что позволило снизить риск уголовного преследования специалистов, работающих в интересах повышения защищённости цифровых систем.