Журнал "Information Security/ Информационная безопасность" #6, 2025

кость. Исследовательские форматы, баг- баунти и кибериспытания часто строятся на быстром поиске и оперативной пере- даче информации. Респонденты опа- саются, что дополнительные процедуры, согласования и формальные требования неизбежно замедлят процессы и снизят эффективность работы. Эти опасения напрямую связаны с ожиданиями относительно влияния закона на рынок и приток кадров. Лишь 17% считают, что регулирование может положительно сказаться на вовлечении новичков, сделав профессию более без- опасной юридически. При этом 51% ожидают отрицательного эффекта, ука- зывая на риск отпугивания новых спе- циалистов из-за сертификаций, аккре- дитаций и бюрократии. Около 32% счи- тают влияние нейтральным, что само по себе говорит о неопределенности ожи- даний. Особенно показателен вопрос о воз- можном уходе специалистов в серую зону. Две трети респондентов считают, что при избыточном регулировании часть сообщества скорее предпочтет работать вне российской юрисдикции или вне формального правового поля. Лишь 18% не видят такого риска, еще 17% затруд- нились с ответом. Этот страх подкрепляется реальным опытом. 37% участников опроса уже отказывались от участия в проектах из- за сомнений в юридической защищен- ности. Еще 30% сталкивались с такими ситуациями редко, но признают их нали- чие. Только 33% заявили, что готовы работать с любыми компаниями в рамках официальных договоров. Проблемы возникают и на этапе пере- дачи информации об уязвимостях. Почти половина респондентов сталкивалась с трудностями и была вынуждена искать посредников. В отдельных случаях результаты публиковались самостоя- тельно или не публиковались вовсе. Это показывает, что даже существующие механизмы ответственного раскрытия работают далеко не идеально, а допол- нительное усложнение правил может лишь усилить разрыв между формаль- ной и фактической практикой. Асимметрия регулирования и запрос на баланс Если обобщить все ответы, становится ясно: профессиональное сообщество не отрицает необходимость регулирования как такового. Напротив, многие прямо говорят, что рынок анализа защищен- ности нуждается в более четких прави- лах и понятном правовом статусе этич- ного исследователя. Однако ключевая претензия заключается в асимметрии предлагаемых мер. Закон в текущей логике воспринима- ется как инструмент, который усиливает контроль и накладывает дополнительные обязанности, но не предлагает сопоста- вимых гарантий. У исследователя не появляется четко зафиксированный ста- тус, не возникает понятных механизмов защиты в конфликте с заказчиком или регулятором, не снижается риск про- извольной трактовки его действий. Это ощущение усиливается слабой готовностью сообщества к коллективной защите. Лишь 14% респондентов счи- тают, что исследовательское сообщество готово активно и последовательно защи- щать коллег, сталкивающихся с давле- нием. Большинство же оценивает такую поддержку как ограниченную, несистем- ную или вовсе неэффективную. Около 17% затруднились с ответом, что само по себе говорит о разобщенности. В результате возникает устойчивая картина: специалист остается один на один с рисками, а новые регуляторные инициативы воспринимаются как фак- тор, усиливающий эту уязвимость. Имен- но поэтому в открытых ответах так часто звучит мысль о том, что в любой спорной ситуации крайним окажется хантер или пентестер, а реальные злоумышленники останутся вне поля действия закона. Вместо выводов По результатам опроса можно зафик- сировать несколько ключевых болевых точек, которые и определяют скепсис профессионального сообщества: 1. Асимметрия ответственности и защиты. Исследователю предлагается принять дополнительные обязательства и ограничения, не получая взамен четко зафиксированного правового статуса и гарантий защиты в конфликтных ситуа- циях. 2. Риск деанонимизации без понятных выгод. Обязательная регистрация и рее- стры воспринимаются не как инструмент легализации, а как фактор повышения персональных рисков в условиях неопре- деленной правоприменительной прак- тики. 3. Бюрократизация быстрых и гибких форматов. Offensive Security ценится за скорость и инициативу, тогда как допол- нительные согласования и формальные процедуры угрожают самой природе исследовательской работы. 4. Вероятность миграции в серую зону. При усилении контроля без баланса интересов часть специалистов с высокой вероятностью выберет работу вне фор- мального поля или вне российской юрис- дикции. 5. Отсутствие механизмов коллектив- ной защиты. Сообщество остается раз- общенным, а в спорных ситуациях спе- циалист зачастую остается один на один с заказчиком и регулятором. Перечисленные факторы формируют главный риск: регулирование, задуман- ное как способ повысить безопасность, может привести к снижению прозрачно- сти рынка и оттоку экспертизы. Запрос сообщества направлен не на отмену правил, а на их симметричность – такие условия, при которых контроль сопро- вождается защитой, а ответственность не становится односторонней. В обсуждаемом сегодня виде регули- рование скорее увеличит разрыв между формальными требованиями и реальной практикой, нежели чем повысит уровень безопасности. В результате экспертиза начнет уходить туда, где правила понят- нее, а юридические риски ниже – и имен- но это станет главным побочным эффек- том инициативы. Оговоримся, что результаты опроса – ценная фотография настроений внутри профессионального сообщества, но не его полный портрет. Были опрошены 102 активных специалиста, их мнение точно отражает позицию вовлеченного ядра индустрии, однако оно может отли- чаться от взглядов более широкого круга экспертов, которые не так активны. Поэтому приведенные выше цифры стоит рассматривать как яркий индика- тор трендов и дискуссий, но не как точ- ный статистический срез мнений всех российских белых хакеров. К слову, по прогнозу компании Positive Technologies, к 2027 г. количество багхантеров, заре- гистрированных на специализированных платформах, составит около 24 тыс. человек 4 . l • 71 БЕЛЫЙ ХАКЕР www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 4 https://www.comnews.ru/content/233733/2024-06-14/2024-w24/1008/belykh- khakerov-rossii-stanet-bolshe Рис. 1. Как вы оцениваете идею закона о белых хакерах?