- авторское право
- Важное
- высококвалифицированные специалисты / ВКС
- Гражданам России
- защита от дискриминации
- Международные инструменты защиты прав человека
- новости миграции
- Образцы обращений, жалоб, исков
- свобода выражения мнения / Пацифизм
- свобода информации
- цели устойчивого развития / ЦУР/SDG
Защита от нечувствительного законопроекта
В августе 2025 года Минцифры опубликовало законопроект, в котором собрали дополнительные меры по борьбе с кибермошенниками. Документ находится на портале проектов нормативных правовых актов (ID проекта — 159652).
Вендоры называют это «вторым пакетом антифрод-мер». Вендоры считают, что предлагается расширить запреты в законе об информации так, чтобы под них попадали материалы, пригодные для несанкционированного уничтожения, блокирования, изменения или копирования данных, а также сведения о доступе к программам для таких действий. И в тексте нет явных исключений для обучения, исследований, CTF и ответственного раскрытия уязвимостей. В результате под подозрением оказываются разборы атак, учебные стенды, примеры эксплуатации и методички, которые сегодня составляют основу практической подготовки специалистов-пентестеров.
Публичная позиция сторон расходится. Регулятор заявляет о борьбе с преступниками, профильное сообщество указывает на риски для легальных практик. Важно отметить — проблема не в цели, а в том, что широкая формула одинаково охватывает вредоносные пособия и учебные разборы, где цель прямо противоположная — быстрее закрывать уязвимости и повышать устойчивость систем. Когда оценка намерения текста ложится на модератора или силовые структуры, возникает эффект охлаждения: авторы убирают детали, редакции режут практику, инженеры уходят в закрытые каналы. Защита теряет скорость, а злоумышленники — нет.
Наступательная безопасность строится на воспроизводимости. Пентестеры обязаны опережать противника: отрабатывать приемы на полигонах, закреплять их в разборах и обмениваться опытом с разработчиками и защитниками. Без права на подробный технический текст отрасль скатывается к теории. Учебные соревнования лишаются смысла, если нельзя обсуждать решения. Курсы теряют практику, если преподавателю запрещено проводить демонстрации. Через несколько циклов это выливается в кадровый дефицит и рост стоимости защиты при падении её качества.
С bug-bounty удар будет не по самим программам, а по их нервной системе — публичной технике. Эти площадки держатся на чётком скоупе, правилах отчётности и проверяемой воспроизводимости. Если публикация подробностей воспринимается как распространение «информации о способах атаки», то исчезают открытые райтапы, сужается возможность показать, как именно проявляется баг, а проверка работ участников смещается под NDA. Итог известен: меньше проверяемых артефактов, медленнее исправления, ниже доверие между исследователем и разработчиком.
Запретные нормы не очистят глобальную сеть — они локально осложнят доступ и поиск. В реальности это означает фрагментацию источников, рост «серого» оборота копий и удлинение пути от обнаружения до понимания границ эксплуатации. Для защитников это потеря времени, а время в инцидентах — самое дорогое.
Вендоры и разработчики тоже проигрывают от тишины. Быстрые исправления рождаются там, где есть чёткий сигнал с примерами, а не только с абстрактным описанием. Публичный разбор позволяет командам воспроизвести баг, расставить приоритеты, обновить средства обнаружения. Если этот слой убрать, в обороне появляется лаг: ошибка живёт дольше, сигнатуры и правила приходят позже, окно атаки расширяется.
В профессиональной среде складывается общая позиция:
- Во-первых, реальная борьба с мошенничеством необходима. Злоумышленники усложняют атаки, потери становятся больше, число пострадавших растёт. В этой ситуации проактивные действия государства выглядят как разумная реакция.
- Во-вторых, для прикладной безопасности нужны правовые исключения — для образовательных и исследовательских материалов, для ответственного раскрытия уязвимостей, для санкционированных испытаний на выделенных стендах и для публикаций по итогам программ bug-bounty.
- В-третьих, запретительные формулы без таких исключений бьют по легальным каналам обмена знаниями, делают защитников медленнее и не меняют поведение преступников. Эффект может быть незначительным сразу, однако обязательно скажется в дальнейшем.
Проект №159652 в текущем виде несёт высокий риск для практики наступательной безопасности. Он не выключит знания в глобальном интернете, но сделает их менее доступными для тех, кто защищает инфраструктуры, замедлив исследования, обучение и исправления. Если цель — меньше преступлений, то тишина вокруг прикладной ИБ приносит противоположный результат: атакующим достаётся фора, а на стороне защиты накапливается технический долг.
