Кабінет Міністрів України ухвалив постанову, якою визначив правила легальних тестів систем та мереж на наявність вразливостей. Документ визначає процедуру організації, проведення пошуку та виявлення потенційних вразливостей інформаційних систем на підставі публічної пропозиції.
Як зазначає аналітичний центр “Офіс ефективного регулювання BRDO”, експерти якого брали участь у розробці документа, він дозволить Україні запустити повноцінну систему національних програм bug bounty.
Мова йде про пропозицію, за допомогою якої експерти можуть отримати винагороду за находження помилок, експлойтів і вразливостей. Власники інформаційних систем отримали нормативний інструмент для підвищення рівня їхнього кіберзахисту.
Приватні дослідники з питань кіберзахисту — так звані “етичні” чи “білі хакери”, документом захищаються від притягнення до кримінальної відповідальності. Раніше така діяльність прирівнювалася до злочину.
У BRDO нагадали, що у березні 2022 року парламент вносив зміни до Кримінального кодексу України, якими декриміналізував втручання в роботу інформаційних систем з метою пошуку вразливостей в них. Робота “етичних хакерів” для пошуку вразливостей, зокрема, у державних системах стала легальною.
Водночас, на думку експертів BRDO, був обраний не найкращий механізм декриміналізації з точки зору нормопроєктування. Тому було прийнято рішення продовжити реалізацію цього механізму і ухвалити затверджений нині порядок.