О чем материал:
Белый хакер — специалист по кибербезопасности, который ищет уязвимости в системах и сообщает о них владельцам для исправления. В 2024 году такие эксперты обнаружили более 6000 уязвимостей в системах российских компаний и госучреждений. Вопрос легализации белых хакеров публично обсуждается с лета 2022 года, однако в июле 2025 года Госдума окончательно отклонила соответствующий законопроект. Разбираемся, что произошло и с какими правовыми рисками сталкиваются специалисты по поиску уязвимостей сегодня.
Что обещали в 2023–2024: проект легализации белых хакеров
В декабре 2023 года группа депутатов из «Цифровой России» (партийный проект «Единой России» по развитию цифровой экономики) внесла в Госдуму законопроект № 509708-8. Документ предлагал разрешить поиск уязвимостей без предварительного согласия правообладателя. Взамен хакер был обязан в течение пяти рабочих дней после обнаружения бреши письменно уведомить владельца системы о проблеме и способах ее воспроизведения.
Депутат Антон Немкин отмечал, что легализация белых хакеров стала необходимостью, поскольку компании уже активно пользуются их услугами.
Идея «песочницы» и реестра ФСБ
Законопроект предполагал создание контролируемой среды для тестирования безопасности. Все мероприятия по поиску уязвимостей должны были согласовываться с ФСБ как федеральным органом в области безопасности. Обсуждалась идентификация хакеров через ЕСИА (портал «Госуслуги»), а операторов и владельцев информационных систем предлагалось обязать публиковать специальную форму для приема сообщений об уязвимостях.
Обещанные гарантии неприкосновенности
В октябре 2024 года Госдума приняла законопроект в первом чтении. Пояснительная записка обещала, что принятие документа позволит проводить анализ уязвимостей в любой форме без разрешения правообладателей соответствующей программы. Специалисты по кибербезопасности получили бы легальный статус и защиту от уголовного преследования — именно этого рынок ждал несколько лет.
Однако после первого чтения законопроект завис между комитетами, пока не получил отрицательное заключение.
Почему проект заморозили и фактически похоронили
8 июля 2025 года Госдума окончательно отклонила законопроект по рекомендации комитета по госстроительству и законодательству. Официальная причина: проект не учитывает нормы о государственной тайне и безопасности критической информационной инфраструктуры. Белые хакеры могли бы получить доступ к засекреченной информации при тестировании государственных систем, механизма контроля документ не предусматривал.
Позиция ФСБ: любой несанкционированный доступ — статья 272 УК
Против легализации белых хакеров с самого начала выступали силовые структуры. Еще осенью 2023 года против инициативы совместно высказались МВД, Генпрокуратура и Следственный комитет. ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю — регулятор в сфере защиты информации) придерживаются позиции, что любые хакеры должны нести одинаковую ответственность в рамках закона.
По мнению силовиков, даже белые хакеры будут приравниваться к преступникам и попадать под статью о неправомерном доступе к компьютерной информации.
Отсутствие поправок в УК РФ и подзаконные акты
Правительство в официальном отзыве указало: для легализации необходимо комплексно менять законодательство, в том числе Уголовный кодекс. Однако соответствующие поправки в УК так и не были разработаны.
Отказ от идеи реестра и «охотничьих лицензий»
Изначально законопроект предполагал создание государственного реестра сертифицированных специалистов — своего рода «охотничьих лицензий» на поиск уязвимостей. Идея состояла в том, что только зарегистрированные хакеры с подтвержденной квалификацией смогут легально тестировать системы. Однако от этой концепции отказались еще на этапе обсуждения: механизм сертификации так и не был проработан.
Реальная практика 2024–2025 годов
Компании платят независимым исследователям за обнаруженные проблемы: чем критичнее уязвимость, тем выше награда. Такая программа вознаграждений называется bug bounty.
Законопроект отклонен, но потребность в поиске уязвимостей никуда не делась. Компании продолжают запускать программы bug bounty, хакеры продолжают искать бреши, просто без правовой защиты.
В 2024 году через платформы Standoff Bug Bounty и BI.ZONE Bug Bounty специалисты обнаружили более 6000 уязвимостей. Каждая пятая уязвимость в государственных системах оказалась критически опасной.
Крупные технологические компании — VK, Яндекс, Тинькофф, Ozon — запускают собственные программы bug bounty и выплачивают от нескольких тысяч до сотен тысяч рублей в зависимости от критичности уязвимости. Государственные структуры тоже участвуют: Минцифры привлекало хакеров к проверке портала «Госуслуги» и других госсистем, выплатив в общей сложности 12,7 млн рублей. За период с августа 2024 по август 2025 года совокупные выплаты на российских платформах составили 268,9 млн рублей. Но все это происходит в правовой серой зоне.
Громкие уголовные дела против bug bounty-охотников
Уголовные дела против исследователей безопасности в России уже возбуждались. В 2021 году ФСБ возбудила уголовное дело против Никиты Демидова, сотрудника техподдержки интернет-провайдера. Он проверял роутеры клиентов на известные уязвимости программой Router Scan — по его словам, чтобы заранее выявить проблемы и предупредить клиентов. Программа автоматически перебирает IP-адреса, и среди них случайно оказался адрес ОНПП «Технология» — предприятия Ростеха, которое относится к объектам критической информационной инфраструктуры (КИИ).
Сканирование засекла ГосСОПКА — государственная система обнаружения компьютерных атак, которая отслеживает подозрительную активность в сетях стратегически важных объектов. Система передала сигнал в ФСБ. Последовал обыск и уголовное дело по ч.1 ст. 274.1 УК РФ (неправомерное воздействие на КИИ). При этом ущерб предприятию не был нанесен, что подтвердил ответ на адвокатский запрос.
Как санкции изменили рынок bug bounty
До 2022 года российские компании и хакеры работали через международную платформу HackerOne — крупнейшую в мире площадку для программ bug bounty. Яндекс, Ozon, VK, Тинькофф размещали там свои программы, а российские исследователи получали вознаграждения за найденные уязвимости в системах компаний по всему миру.
В марте 2022 года HackerOne отключила пользователей из России и Беларуси. Накопленные вознаграждения заморозили — у некоторых хакеров на счетах зависло до 150 тыс. долларов. Российским компаниям пришлось искать альтернативу.
Это дало толчок развитию отечественных платформ: Standoff Bug Bounty, BI.ZONE Bug Bounty, Bug Bounty Ru. Рынок не просто выжил, но и вырос, правда, по-прежнему без правовой определенности.
Что грозит белому хакеру сейчас
Без изменений в Уголовном кодексе любой поиск уязвимостей остается потенциально наказуемым деянием. Вот актуальные санкции по статье 272 УК РФ и смежным статьям:
| Статья УК | Состав | Санкция (максимум) |
| Ст. 272 ч.1 | Неправомерный доступ с уничтожением/блокированием/модификацией/копированием информации | до 2 лет лишения свободы |
| Ст. 272 ч.2 | То же при крупном ущербе (от 1 млн ₽) или корыстной заинтересованности | до 4 лет |
| Ст. 272 ч.3 | Группой лиц или с использованием служебного положения | до 5 лет |
| Ст. 272 ч.4 | Тяжкие последствия или угроза их наступления | до 7 лет |
| Ст. 273 ч.1 | Создание/распространение/использование вредоносных программ | до 4 лет |
| Ст. 273 ч.3 | Тяжкие последствия | до 7 лет |
| Ст. 274.1 ч.1 | Cоздание/использование программ для воздействия на КИИ | от 2 до 5 лет + штраф 500 тыс.–1 млн ₽ |
Статья 272 и 273 УК РФ: сроки до 7 лет
Статья 272 применяется, если деяние повлекло уничтожение, блокирование, модификацию или копирование информации. Несанкционированный просмотр без последствий формально состава преступления не образует.
Состав статьи 273 о вредоносных программах формальный: ответственность наступает уже за создание программы, независимо от ее фактического использования. Само наличие исходных текстов вирусных программ может стать основанием для преследования.
Теоретически использование программы с согласия собственника в образовательных целях или для тестирования не образует состава преступления. Но на практике это исключение редко защищает: нужен безупречный договор, и даже он не гарантирует безопасности.
Даже с Letter of Authority защита не работает
LOA (Letter of Authority) — письменное разрешение от владельца системы на проведение тестирования. В теории такой документ должен защищать исследователя: он действует не самовольно, а по договору. На практике защита ненадежна.
Во-первых, LOA покрывает только ту систему, на которую выдано разрешение. Если в процессе тестирования случайно затронуть смежную инфраструктуру — например, сервер партнера или подрядчика — договор не защитит.
Особые ограничения действуют для банковского сектора и объектов критической инфраструктуры. Там недостаточно договора с владельцем — нужны дополнительные согласования с регуляторами.
Даже безупречный договор не гарантирует, что дело не возбудят. Виновность или отсутствие состава преступления определяется только в суде, а до суда можно провести месяцы под следствием.
Можно ли легально искать уязвимости в России в 2025
Короткий ответ: полностью легального способа для независимых специалистов не существует. Есть лишь варианты с минимизированными рисками.
Только через закрытые госпрограммы и тендеры
Минцифры с ноября 2023 по ноябрь 2024 года привлекало багхантеров к проверке 10 госсистем, выплатив 12,7 млн рублей. Работа через лицензированные компании с договором и лицензией ФСТЭК минимизирует риски, поскольку отношения формализованы и согласованы с регулятором. Это единственный путь, при котором специалист получает хоть какую-то правовую защиту.
Bug bounty остался в серой зоне
При работе с известной компанией, имеющей лицензию ФСТЭК, риски сводятся к минимуму, но полной правовой защиты нет — деятельность остается вне правового поля. Российские платформы помогают хантерам с формальными требованиями: постановка на учет как налоговый агент, документальное оформление выплат. Однако юридический статус самой деятельности по-прежнему не определен.
Часто задаваемые вопросы
Правда ли, что ФСБ теперь требует согласовывать каждую проверку?
Пока нет, но готовится новая версия законопроекта. Согласно ей, деятельность белых хакеров будет регулировать не Минцифры, а силовые ведомства: ФСБ (Федеральная служба безопасности), ФСТЭК и НКЦКИ (Национальный координационный центр по компьютерным инцидентам — структура ФСБ, отвечающая за реагирование на кибератаки). Документ предполагает обязательную идентификацию и верификацию хакеров, создание реестра и обязанность сообщать об уязвимостях не только владельцу системы, но и силовым ведомствам. Более того, предлагается ввести в статью 274 УК ответственность за «неправомерную передачу уязвимостей».
Работают ли иностранные bug bounty для россиян?
Нет. С марта 2022 года HackerOne и другие международные платформы удалили российских и белорусских пользователей. Заработанные средства заморожены, часть из них перенаправлена на благотворительность.
Есть ли шанс на возобновление легализации в 2026?
Законопроект готовится, но в ужесточенной версии. Вместо освобождения от ответственности предлагается тотальный контроль: реестр хакеров под управлением ФСБ, обязательная идентификация, отчетность перед силовыми структурами.
Если хотите уверенно работать с цифровыми продуктами и расти как специалист, присоединяйтесь к курсу «Юрист в сфере IT». Получите практические навыки от экспертов МТС, Яндекса, НИУ ВШЭ и OZON и станьте юристом, который легко ориентируется в цифровом праве.
