La Russia legalizza gli hacker white hat con una nuova legge in arrivo

La Russia sta preparando una nuova versione di un disegno di legge che legalizza gli hacker “white hat”. Due fonti di agenzie governative e del settore della sicurezza informatica hanno riferito a RBC che il documento ha già superato la fase di approvazione principale ed è in preparazione per la presentazione alla Duma di Stato.

L’iniziativa prevede la creazione di un sistema unificato di regolamentazione governativa per tutti i tipi di attività di ricerca relative al rilevamento delle vulnerabilità. Il progetto coinvolgerà gli specialisti ingaggiati dalle aziende per testare i loro sistemi informativi, sia direttamente che tramite piattaforme di bug bounty, dove vengono pagate ricompense per errori e vulnerabilità scoperti.

La nuova versione del disegno di legge introduce il concetto di “evento di ricerca di vulnerabilità”. Come spiegato dalle fonti di RBC, questo “potrebbe comprendere tutte le forme di ricerca di vulnerabilità, cancellando le distinzioni esistenti nel settore”. Ciò include sia i programmi commerciali di bug bounty condotti tramite piattaforme specializzate, sia gli audit interni, in cui i dipendenti dell’azienda ricercano vulnerabilità. Questa categoria include anche la ricerca indipendente, in cui specialisti testano il software in modo indipendente, e i penetration test condotti nell’ambito di contratti ufficiali tra organizzazioni.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Si propone di delegare la regolamentazione di tutte queste attività alle forze dell’ordine: l’FSB, l’FSTEC e il Centro Nazionale di Coordinamento per gli Incidenti Informatici. Queste potrebbero essere autorizzate a stabilire requisiti obbligatori per le aree chiave della ricerca di vulnerabilità, indipendentemente dal fatto che i programmi siano commerciali, per uso interno o correlati ad aziende o enti governativi critici.

Ciò include l’identificazione e la verifica obbligatorie degli hacker “white hat”; norme per l’accreditamento e il funzionamento delle organizzazioni che conducono ricerche di vulnerabilità; norme che disciplinano l’elaborazione e la protezione dei dati sulle vulnerabilità identificate; regolamenti su come le informazioni sulle vulnerabilità debbano essere comunicate al proprietario delle risorse e agli enti governativi, e altro ancora.

Si prevede che gli elenchi degli operatori accreditati saranno pubblicati sui siti web ufficiali delle forze dell’ordine. Sarà vietato organizzare eventi al di fuori delle sedi accreditate o in violazione delle norme stabilite. Inoltre, si propone che chiunque scopra una vulnerabilità sia tenuto a segnalarla non solo al proprietario del software, ma anche alle forze dell’ordine.

Il progetto propone modifiche all’articolo 274 del Codice penale russo, che classificherebbero come reato il “trasferimento illegale di vulnerabilità”, ovvero il trasferimento di informazioni in violazione delle norme stabilite. Secondo alcune fonti, si starebbe valutando anche la possibilità di creare un registro statale degli hacker “white hat”.

Il Ministero dello Sviluppo Digitale, delle Comunicazioni e dei Mass Media ha confermato il suo coinvolgimento nella finalizzazione dell’iniziativa. Un portavoce del Ministero ha dichiarato che “il Ministero sta dialogando con l’industria e i colleghi della Duma di Stato su questo disegno di legge”, osservando che non sono ancora pervenute proposte per la creazione di un registro. Ha aggiunto che il progetto mira a legalizzare le attività degli hacker “white hat” per prevenire potenziali conseguenze negative per il loro lavoro. Prima che la legge venga adottata e firmata dal Presidente, il documento potrebbe essere modificato per riflettere il contributo dell’industria e delle agenzie interessate.

Gli esperti intervistati da RBC definiscono la nuova versione dell’iniziativa più rigorosa e sottolineano i rischi della deanonimizzazione obbligatoria degli specialisti. Affermano che la creazione di un registro degli hacker “white hat” e la condivisione dei dati con le forze dell’ordine potrebbero portare a fughe di notizie, minacce alla sicurezza dei ricercatori e un esodo dei partecipanti dai programmi di bug bounty. Alcuni esperti avvertono che aziende e ricercatori indipendenti, temendo le conseguenze, potrebbero ritirarsi nella “zona grigia” e condurre test in modo non ufficiale.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.