La Russia sta preparando una nuova versione di un disegno di legge che legalizza gli hacker “white hat”. Due fonti di agenzie governative e del settore della sicurezza informatica hanno riferito a RBC che il documento ha già superato la fase di approvazione principale ed è in preparazione per la presentazione alla Duma di Stato.

L’iniziativa prevede la creazione di un sistema unificato di regolamentazione governativa per tutti i tipi di attività di ricerca relative al rilevamento delle vulnerabilità. Il progetto coinvolgerà gli specialisti ingaggiati dalle aziende per testare i loro sistemi informativi, sia direttamente che tramite piattaforme di bug bounty, dove vengono pagate ricompense per errori e vulnerabilità scoperti.

La nuova versione del disegno di legge introduce il concetto di “evento di ricerca di vulnerabilità”. Come spiegato dalle fonti di RBC, questo “potrebbe comprendere tutte le forme di ricerca di vulnerabilità, cancellando le distinzioni esistenti nel settore”. Ciò include sia i programmi commerciali di bug bounty condotti tramite piattaforme specializzate, sia gli audit interni, in cui i dipendenti dell’azienda ricercano vulnerabilità. Questa categoria include anche la ricerca indipendente, in cui specialisti testano il software in modo indipendente, e i penetration test condotti nell’ambito di contratti ufficiali tra organizzazioni.

Si propone di delegare la regolamentazione di tutte queste attività alle forze dell’ordine: l’FSB, l’FSTEC e il Centro Nazionale di Coordinamento per gli Incidenti Informatici. Queste potrebbero essere autorizzate a stabilire requisiti obbligatori per le aree chiave della ricerca di vulnerabilità, indipendentemente dal fatto che i programmi siano commerciali, per uso interno o correlati ad aziende o enti governativi critici.

Ciò include l’identificazione e la verifica obbligatorie degli hacker “white hat”; norme per l’accreditamento e il funzionamento delle organizzazioni che conducono ricerche di vulnerabilità; norme che disciplinano l’elaborazione e la protezione dei dati sulle vulnerabilità identificate; regolamenti su come le informazioni sulle vulnerabilità debbano essere comunicate al proprietario delle risorse e agli enti governativi, e altro ancora.

Si prevede che gli elenchi degli operatori accreditati saranno pubblicati sui siti web ufficiali delle forze dell’ordine. Sarà vietato organizzare eventi al di fuori delle sedi accreditate o in violazione delle norme stabilite. Inoltre, si propone che chiunque scopra una vulnerabilità sia tenuto a segnalarla non solo al proprietario del software, ma anche alle forze dell’ordine.

Il progetto propone modifiche all’articolo 274 del Codice penale russo, che classificherebbero come reato il “trasferimento illegale di vulnerabilità”, ovvero il trasferimento di informazioni in violazione delle norme stabilite. Secondo alcune fonti, si starebbe valutando anche la possibilità di creare un registro statale degli hacker “white hat”.

Il Ministero dello Sviluppo Digitale, delle Comunicazioni e dei Mass Media ha confermato il suo coinvolgimento nella finalizzazione dell’iniziativa. Un portavoce del Ministero ha dichiarato che “il Ministero sta dialogando con l’industria e i colleghi della Duma di Stato su questo disegno di legge”, osservando che non sono ancora pervenute proposte per la creazione di un registro. Ha aggiunto che il progetto mira a legalizzare le attività degli hacker “white hat” per prevenire potenziali conseguenze negative per il loro lavoro. Prima che la legge venga adottata e firmata dal Presidente, il documento potrebbe essere modificato per riflettere il contributo dell’industria e delle agenzie interessate.

Gli esperti intervistati da RBC definiscono la nuova versione dell’iniziativa più rigorosa e sottolineano i rischi della deanonimizzazione obbligatoria degli specialisti. Affermano che la creazione di un registro degli hacker “white hat” e la condivisione dei dati con le forze dell’ordine potrebbero portare a fughe di notizie, minacce alla sicurezza dei ricercatori e un esodo dei partecipanti dai programmi di bug bounty. Alcuni esperti avvertono che aziende e ricercatori indipendenti, temendo le conseguenze, potrebbero ritirarsi nella “zona grigia” e condurre test in modo non ufficiale.

L'articolo La Russia legalizza gli hacker white hat con una nuova legge in arrivo proviene da Red Hot Cyber.