La Russia sta preparando una nuova versione di un disegno di legge che legalizza gli hacker “white hat”. Due fonti di agenzie governative e del settore della sicurezza informatica hanno riferito a RBC che il documento ha già superato la fase di approvazione principale ed è in preparazione per la presentazione alla Duma di Stato.
L’iniziativa prevede la creazione di un sistema unificato di regolamentazione governativa per tutti i tipi di attività di ricerca relative al rilevamento delle vulnerabilità. Il progetto coinvolgerà gli specialisti ingaggiati dalle aziende per testare i loro sistemi informativi, sia direttamente che tramite piattaforme di bug bounty, dove vengono pagate ricompense per errori e vulnerabilità scoperti.
La nuova versione del disegno di legge introduce il concetto di “evento di ricerca di vulnerabilità”. Come spiegato dalle fonti di RBC, questo “potrebbe comprendere tutte le forme di ricerca di vulnerabilità, cancellando le distinzioni esistenti nel settore”. Ciò include sia i programmi commerciali di bug bounty condotti tramite piattaforme specializzate, sia gli audit interni, in cui i dipendenti dell’azienda ricercano vulnerabilità. Questa categoria include anche la ricerca indipendente, in cui specialisti testano il software in modo indipendente, e i penetration test condotti nell’ambito di contratti ufficiali tra organizzazioni.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Si propone di delegare la regolamentazione di tutte queste attività alle forze dell’ordine: l’FSB, l’FSTEC e il Centro Nazionale di Coordinamento per gli Incidenti Informatici. Queste potrebbero essere autorizzate a stabilire requisiti obbligatori per le aree chiave della ricerca di vulnerabilità, indipendentemente dal fatto che i programmi siano commerciali, per uso interno o correlati ad aziende o enti governativi critici.
Ciò include l’identificazione e la verifica obbligatorie degli hacker “white hat”; norme per l’accreditamento e il funzionamento delle organizzazioni che conducono ricerche di vulnerabilità; norme che disciplinano l’elaborazione e la protezione dei dati sulle vulnerabilità identificate; regolamenti su come le informazioni sulle vulnerabilità debbano essere comunicate al proprietario delle risorse e agli enti governativi, e altro ancora.
Si prevede che gli elenchi degli operatori accreditati saranno pubblicati sui siti web ufficiali delle forze dell’ordine. Sarà vietato organizzare eventi al di fuori delle sedi accreditate o in violazione delle norme stabilite. Inoltre, si propone che chiunque scopra una vulnerabilità sia tenuto a segnalarla non solo al proprietario del software, ma anche alle forze dell’ordine.
Il progetto propone modifiche all’articolo 274 del Codice penale russo, che classificherebbero come reato il “trasferimento illegale di vulnerabilità”, ovvero il trasferimento di informazioni in violazione delle norme stabilite. Secondo alcune fonti, si starebbe valutando anche la possibilità di creare un registro statale degli hacker “white hat”.
Il Ministero dello Sviluppo Digitale, delle Comunicazioni e dei Mass Media ha confermato il suo coinvolgimento nella finalizzazione dell’iniziativa. Un portavoce del Ministero ha dichiarato che “il Ministero sta dialogando con l’industria e i colleghi della Duma di Stato su questo disegno di legge”, osservando che non sono ancora pervenute proposte per la creazione di un registro. Ha aggiunto che il progetto mira a legalizzare le attività degli hacker “white hat” per prevenire potenziali conseguenze negative per il loro lavoro. Prima che la legge venga adottata e firmata dal Presidente, il documento potrebbe essere modificato per riflettere il contributo dell’industria e delle agenzie interessate.
Gli esperti intervistati da RBC definiscono la nuova versione dell’iniziativa più rigorosa e sottolineano i rischi della deanonimizzazione obbligatoria degli specialisti. Affermano che la creazione di un registro degli hacker “white hat” e la condivisione dei dati con le forze dell’ordine potrebbero portare a fughe di notizie, minacce alla sicurezza dei ricercatori e un esodo dei partecipanti dai programmi di bug bounty. Alcuni esperti avvertono che aziende e ricercatori indipendenti, temendo le conseguenze, potrebbero ritirarsi nella “zona grigia” e condurre test in modo non ufficiale.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber Italia
Cybercrime
Cybercrime
Cybercrime
Diritti