Журнал "Information Security/ Информационная безопасность" #6, 2025

В декабре 2025 г. совместно с автора- ми блогов "Пакет Безопасности" 2 и "Культ Безопасности" 3 при поддержке редакции журнала "Информационная безопас- ность" был проведен опрос среди 102 специалистов, которых почти наверняка затронет новое регулирование. Профес- сиональное сообщество достаточно зре- лое и неоднородное. Около 22% респон- дентов имеют опыт работы в ИБ более пяти лет, еще 32% – от трех до пяти лет. Это не начинающие энтузиасты, а люди, которые прошли через несколько этапов развития отрасли, смену регуляторных подходов и трансформацию Offensive Security из нишевой практики в массовый инструмент бизнеса. Формат работы респондентов также важен для понимания дальнейших выво- дов. Почти четверть участников опроса указала, что анализ защищенности не является их основной деятельностью: они участвуют в багбаунти, кибериспытаниях и исследованиях эпизодически. Около 28% работают во внутренних пентестах, и примерно половина проводят внешние тесты на проникновение для заказчиков. На этом фоне особенно показательно, что лишь 23% респондентов заявили, что никогда не сталкивались с негативной реакцией со стороны тестируемых орга- низаций. Более половины (55%) сталки- вались с недопониманием или спорными ситуациями, которые удавалось урегули- ровать, но 17% получали угрозы возмож- ных судебных разбирательств, а 5% уча- ствовали в судах на практике. Даже если последние цифры кажутся небольшими, в профессиональной среде они форми- руют устойчивое ощущение риска. Это напрямую отражается на оценке собственной правовой защищенности. Только 39% считают ее высокой, связы- вая это с работой через формализован- ные договоры или платформы. Вероятно, ощущение высокого уровня защищен- ности наиболее характерно для иссле- дователей, которые работают в инхаус- командах или командах тестирования в вендорах, интеграторах, – помимо дого- воров, такие команды защищает еще и штат юристов работодателя. Остальные оценивают свою защищен- ность как среднюю (43%) или низкую (18%), указывая на слабую проработку законодательства и сохраняющиеся риски. Таким образом, обсуждение зако- на происходит в среде, где чувство уязвимости уже встроено в профессио- нальный опыт. Идея порядка или источник новых рисков? На этом фоне интерес к обсуждению закона о белых хакерах выглядит зако- номерным. Большинство респондентов в той или иной степени следят за ново- стями вокруг инициативы: 34% делают это регулярно, еще 46% – время от вре- мени. Впрочем, высокий уровень осве- домленности не означает поддержки. Ключевым триггером дискуссии стал предполагаемый государственный реестр белых хакеров и организаций, допущен- ных к поиску уязвимостей. Почти 59% респондентов скорее не поддерживают идею его создания. Еще 14% не опреде- лились со своей позицией, а 10% отно- сятся к ней нейтрально. Лишь 17% выра- зили осторожную поддержку. Даже без глубокого анализа комментариев видно, что идея не воспринимается как очевид- ное решение накопленных проблем. Можно предположить, что поддержку реестра выказывает та часть комьюнити, которая уже участвует в проектах по тестированию на проникновение крити- ческих, в широком смысле, объектов – они уже абсолютно прозрачны для сило- вых служб, работают в компаниях с соответствующими лицензиями от регу- ляторов. Но это, оценочно, 200–300 человек по отрасли. Когда вопрос формулируется шире, может ли реестр в принципе принести пользу отрасли, картина становится более интересной. 22% опрошенных допускают, что он может быть полезен специалистам и индустрии. Еще 44% признают воз- можный положительный эффект, но счи- тают риски неприемлемыми для себя. При этом 34% уверены, что реестр не принесет пользы ни специалистам, ни развитию Offensive Security. Открытые ответы к этим вопросам позволяют увидеть логику такого скеп- сиса. Прежде всего речь идет о деано- нимизации. Для многих специалистов нежелание публично фиксировать свою деятельность – это не стремление уйти от ответственности, а способ минимизи- ровать риски в условиях, где трактовка действий может меняться в зависимости от контекста и сторон конфликта. Обя- зательная регистрация воспринимается как нарушение сложившегося, пусть и неформального, баланса. Отдельное напряжение вызывает пер- спектива передачи информации не толь- ко компании-заказчику, но и силовым ведомствам, с возможным режимом гостайны. В комментариях участники опроса прямо говорят, что такие условия готовы принять далеко не все. Для части сообщества это означает автоматиче- ское сужение круга специалистов и вытеснение исследовательской актив- ности в менее формальные или зару- бежные юрисдикции. Наконец, устойчиво звучит вопрос о дублировании функций. Респонденты указывают, что рынок уже живет в усло- виях регулирования: лицензирование ком- паний, требования к работам на объектах разного уровня критичности, договоры, внутренние политики и правила багбаун- ти-платформ. На этом фоне реестр вос- принимается не как упрощение или защи- та, а как еще один уровень контроля без очевидной добавленной ценности. "Закон о белых хакерах" в отрасли нередко всплывал как закон, защищаю- щий исследователя, может быть даже определяющий статус этичного хакера. В текущей версии он, безусловно, учиты- вает интересы государства и крупного бизнеса, но сам исследователь не получает ничего, кроме дополнительных обязанно- стей или потенциальных осложнений. Бюрократия и риск ухода в серую зону Одной из самых эмоционально нагру- женных тем в открытых ответах стала бюрократизация. Offensive Security ценится за скорость, инициативу и гиб- 70 • СПЕЦПРОЕКТ Белые хакеры не чувствуют себя защищенными законом возможный закон о белых хакерах 1 в России невозможно говорить в отрыве от реального настроения участников рынка анализа защищенности. Для значительной части специали- стов правовая неопределенность давно стала рабочим фоном, а не исключением. В этом контексте и воспринимаются любые инициативы по дополнительному регулированию. П 1 https://sozd.duma.gov.ru/bill/509708-8 2 https://t.me/package_security 3 https://t.me/cult_security