В 2025 году российскому бизнесу пришлось столкнуться с беспрецедентным вызовом: по оценкам экспертов, число профессиональных хакерских группировок, атакующих отечественную инфраструктуру, выросло практически вдвое. Финансовый сектор традиционно остается мишенью номер один. Успешная атака на банк или финтех-платформу — это не просто технический сбой, это мгновенная утечка конфиденциальных данных, паралич бизнес-процессов и колоссальные прямые убытки. По данным Минцифры, прямой ущерб, нанесенный хакерами российской экономике за прошлый год, достиг астрономических масштабов — от 160 до 250 млрд рублей.
В 2026 году бизнес окончательно осознал, что классические, «бумажные» методы кибербезопасности не могут обеспечить полную защиту активов, и ищет новые, проактивные инструменты. Все чаще компании привлекают пентестеров — так называемых «белых» хакеров (white hats). Это специалисты, которые по заказу самой организации имитируют действия злоумышленников, чтобы найти уязвимости раньше, чем ими воспользуются преступники. Проблема в том, что сегодня в России деятельность белых хакеров находится в глубокой правовой «серой зоне». Она не запрещена напрямую, но и никак не регламентирована, что создает огромные юридические риски как для самих исследователей, так и для нанимающего их бизнеса.
Кто такие «белые хакеры» и где тонкие места финансовых платформ
Мир кибербезопасности делит хакеров на три категории по цвету «шляп», и разница между ними принципиальна:
- Черные хакеры (black hat) — классические преступники. Они занимаются взломом, кражей данных, шифрованием серверов и шантажом ради личной наживы.
- Белые хакеры (white hat) — их полная противоположность, этичные исследователи. Они ищут уязвимости исключительно с разрешения владельца системы, действуют строго в рамках договора и передают отчеты заказчику для исправления брешей.
- Серые хакеры (grey hat) — одиночки, балансирующие на грани. Они взламывают системы без разрешения, но не ради кражи, а чтобы указать владельцу на дыру в безопасности (нередко в надежде на последующее вознаграждение). В России такая самодеятельность мгновенно может довести до суда.
Бизнес понимает ценность «белых воротничков» от ИТ. По сообщениям СМИ, этичные хакеры обнаружили почти 14 тысяч критических ИТ-уязвимостей в российских компаниях. Заказчики стали в два раза чаще обращаться к отечественным Bug Bounty платформам как к превентивному щиту. К слову, самый успешный отечественный исследователь зафиксировал 59 уникальных ошибок и заработал 3,6 млн рублей. При этом абсолютным лидером по количеству сданных отчетов на платформе Standoff Bug Bounty стал именно финансовый сектор.
Финтех-платформы заказывают разные форматы тестов: от «черного ящика» (когда у хакера нет никаких вводных о системе) до проверки методами социальной инженерии (тестирование человеческого фактора). В финансовых системах, где любая ошибка — это прямые потери денег, раскрытие банковской тайны и жесткие санкции ЦБ, пентестеры фокусируются на специфических уязвимостях бизнес-логики и контроля доступа.
Уязвимости контроля доступа и авторизации
- IDOR (Insecure Direct Object References): подмена идентификаторов в запросах (номера счета, ID транзакции) в API мобильного банка, позволяющая увидеть чужие балансы или совершить перевод с чужого аккаунта;
- Повышение привилегий: обход клиентской части приложения, когда обычный пользователь получает права администратора системы;
- Обход двухфакторной аутентификации (2FA): манипуляции с механизмами восстановления пароля или перебором OTP-кодов;
Недостатки бизнес-логики (самые дорогие ошибки)
- Race Conditions (состояние гонки): отправка параллельных микрозапросов на списание, когда система одобряет выдачу денег до того, как успевает обновить баланс в базе данных, что может привести к несанкционированному овердрафту или удвоению средств;
- Манипуляции с округлением (Salad Attacks): похищение микродолей копеек при конвертации валют, когда остатки автоматически пересылаются на счет взломщика;
- Обход лимитов и комиссий: подстановка отрицательных чисел в поле суммы или обход платежных шлюзов.
Обычно катастрофа происходит не из-за одной критической дыры, а из-за комбинации нескольких «безобидных» недочетов, цепочку которых этичный хакер раскручивает в ходе теста.
Уголовный кодекс против ИТ-экспертизы: правовые риски в РФ
В России мир этичного хакинга и уголовно наказуемого взлома с юридической точки зрения разделяет очень тонкая линия. Инструменты и методы у сторон одинаковые, а вот правовые последствия для «белой шляпы» могут стать фатальными. Главный блок угроз — это уголовная ответственность (ст. 272, 273, 274 УК РФ), которая наступает с 16 лет и грозит реальными сроками заключения.
На сегодня основная проблема отечественного правоприменения заключается в том, что российское уголовное право не знает концепции «согласия потерпевшего» как обстоятельства, автоматически исключающего преступность деяния в сфере компьютерных преступлений. Да, существует Постановление Пленума Верховного Суда РФ № 37 от 15.12.2022, в котором судьи упоминают согласие обладателя информации. Но на практике, если в ходе теста пострадают интересы третьих лиц (например, клиентов банка), произойдет утечка персональных данных или будет затронута критическая информационная инфраструктура (КИИ), следственные органы могут проигнорировать любые устные договоренности заказчика и хакера, усмотрев здесь публичный интерес и состав преступления.
Без бумажного договора подряда или оказания услуг с детальным описанием методов тестирования хакер абсолютно беззащитен. Но даже в рамках легального пентеста эксперта подстерегают ловушки. В частности, есть риск по КоАП и ГК. Получив доступ к реальной базе персональных данных клиентов в ходе взлома, хакер, не имеющий специального поручения на обработку ПДн, автоматически нарушает ст. 13.11 КоАП РФ. А если в процессе симуляции атаки упадет продакшн-сервер и банк понесет убытки, пентестер рискует столкнуться с исками о возмещении ущерба и упущенной выгоды в полном объеме (ст. 15, 1064 ГК РФ). Наше законодательство, в отличие от западного, пока не имеет защитного купола для таких специалистов.
Западный опыт: как защищают тех, кто защищает бизнес
Пока в России пентест держится на страхе и высоком юридическом искусстве составления договоров, передовые международные юрисдикции давно поняли: безопасников нужно выводить из-под удара.
В США долгое время главным барьером был Закон о компьютерном мошенничестве и злоупотреблениях (CFAA), трактовавшийся правоохранителями максимально широко. Однако в 2022 году Департамент юстиции США выпустил революционный меморандум: добросовестное тестирование безопасности, исследование уязвимостей и участие в багбаунти больше не должны преследоваться в уголовном порядке, если они проводятся без злого умысла. На уровне отдельных штатов (например, Вашингтон) в законы внесены прямые исключения для этичных хакеров при наличии авторизации от владельца.
В Европе (Нидерланды, Бельгия) годами работает концепция Скоординированного раскрытия уязвимостей (Coordinated Vulnerability Disclosure). Если хакер соблюдает правила игры — не крадет данные, не публикует уязвимость до выпуска патча и сразу сообщает вендору — прокуратура не имеет права возбуждать уголовное дело. Новый европейский Закон о киберустойчивости (Cyber Resilience Act) прямо защищает независимых исследователей.
Зрелые правовые экосистемы за рубежом базируются на четырех столпах:
|
Принцип |
Как это работает на практике |
|
Критерии добросовестности |
Четкие маркеры: немедленный отчет, запрет на шантаж, мораторий на публикацию дыры (обычно 90 дней). |
|
Стандартизация контрактов |
Использование типовых соглашений и официальных Bug Bounty платформ. |
|
Государственный заказ |
Обязательные программы раскрытия уязвимостей для госорганов. |
|
Мировые стандарты |
Проведение пентестов строго по регламентам PTES, OSSTMM, NIST, где правила взаимодействия (Rules of Engagement) имеют статус закона. |
Там государство прямо декларирует: «Если ты следовал правилам, ты защищен». Это позволяет развивать багбаунти как мощную самостоятельную отрасль экономики с миллиардными оборотами.
Как не сесть за пентест: инструкция для финансовых платформ и хакеров
Пока полноценного профильного закона в РФ нет, минимизировать риски приходится вручную. Любой легальный проект по тестированию безопасности должен сопровождаться жестким пакетом документов.
Для снижения рисков необходимы:
- Детализированный договор подряда. Никаких рамочных соглашений «на ИТ-консультирование». Только четкий предмет: тестирование защищенности.
- Жесткое Техническое задание (ТЗ). Это главный щит хакера. В нем до символа прописываются разрешенные IP-адреса, хосты, конкретные методы атак и явные запреты (например, «запрещено использовать DDoS», «исключить социальную инженерию в отношении топ-менеджмента»).
- Юридическое подтверждение прав владения. Пентестер должен удостовериться, что заказчик имеет право разрешать взлом этой инфраструктуры (актуально, если банк арендует мощности в стороннем облаке).
- Акт о готовности инфраструктуры. Документ, в котором банк фиксирует, что бэкапы сделаны, а риски сбоев во время теста он берет на себя.
- NDA с пунктом об уничтожении данных. Обязательство стереть все боевые дампы баз данных сразу после фиксации уязвимости в отчете.
На сегодняшний день лучшим и самым безопасным вариантом для независимых исследователей в России является участие в публичных или приватных Bug Bounty программах через официальные аккредитованные платформы (BI.ZONE Bug Bounty, Standoff 365).
Такие программы юридически фиксируют присоединение к оферте участника, что страхует от случайного падения «прода» (за счет требований изолировать тестовые контуры) и, что немаловажно, учитывает позицию регуляторов. Минцифры и ФСТЭК сегодня активно поддерживают программы государственного багбаунти, что создает позитивный правовой прецедент: статус участника такой платформы фактически снижает риск необоснованного интереса со стороны силовиков.
Ждем легализации
Тотальная цифровая трансформация экономики и финансового сектора делает профессию пентестера одной из самых востребованных на ИТ-рынке. Однако работать в «серой зоне» профессионалы долго не смогут — бизнес не хочет рисковать репутацией, а хакеры — свободой. Рынку необходим прозрачный инструмент признания добросовестного поиска уязвимостей.
Попытки изменить ситуацию предпринимаются, но движутся тяжело. В 2025 году Государственная Дума отклонила законопроект, который должен был официально легализовать статус «белых хакеров» в правовом поле РФ. Тем не менее авторы инициативы не сдаются. Как заявлял член IT-комитета Госдумы Антон Немкин, профильные ведомства планируют повторно внести доработанную инициативу в составе целого пакета законопроектов, детально прописывающих правила игры для отрасли пентеста.
Россия стоит на пороге важнейших инфраструктурных изменений. Легализация этичного хакинга — это не уступка компьютерным романтикам, а жесткая экономическая необходимость, без которой невозможно построить суверенную и устойчивую киберзащиту финансовой системы страны.



ENG


