Белый хакер: профессия под вопросом - как легализовать специалистов по тестированию на проникновение
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС.
Контакты: сайт - legascom.ru, e‑mail - petukhov@legascom.ru .
Суть проблемы
В России обсуждают инициативы по регулированию работы «белых хакеров» - одновременно с предложениями ужесточить уголовную ответственность за хакерские действия. Возникает противоречие: как отличить легальную деятельность от преступной, если сама профессия не оформлена нормативно?
Кто такой «белый хакер»?
Белые хакеры ищут уязвимости в информационных системах, чтобы предотвратить преступления. Их инструменты и методы часто совпадают с теми, что используют «чёрные хакеры», но цели кардинально различаются:
Чёрные хакеры - ищут недоработки для извлечения выгоды и нанесения ущерба.
Белые хакеры - выявляют проблемы, чтобы закрыть бреши и защитить систему.
Аналогия: отвёртка может использоваться и для взлома, и для ремонта - но грабителя и мастера не объединяют в одну категорию.
Почему белых хакеров хотят взять под контроль?
Две ключевые причины:
Доступность объекта работы. Системы, с которыми работают хакеры, доступны через интернет - это снижает входной барьер и повышает тревогу регуляторов. В финансовом аудите компания сама предоставляет аудитору данные для анализа.
Отсутствие системы подготовки. Финансовые аудиторы проходят долгий путь обучения и находятся под наблюдением на всех этапах. Для хакеров такой системы нет.
Текущая ситуация с подготовкой специалистов
Сегодня нет целостной системы подготовки специалистов по тестированию на проникновение. Основные проблемы:
ФГОС ВО по информационной безопасности не полностью охватывают узкие практико‑ориентированные области (например, тестирование на проникновение).
Профессиональные стандарты Минтруда России слабо описывают специфику таких специалистов.
Вузы не имеют чётких ориентиров для проектирования образовательных программ.
Что уже делается?
Ассоциация руководителей служб информационной безопасности (АРСИБ) предпринимает шаги для развития направления:
создан школьный учебник «Безопасность в информационном пространстве» для 10–11 классов;
развёрнута система игр CTF для школьников и студентов - они помогают выявлять талантливых ребят, поддерживать их развитие и трудоустраивать в компании и госструктуры.
Ключевые проблемы образования
Разрыв между формальной подготовкой и реальными требованиями профессии:
вузы опираются на ФГОС и реестр профессиональных стандартов, но для специалистов по тестированию на проникновение чёткой базы нет;
ключевая компетенция таких специалистов - самостоятельное мышление, которое плохо развивается в рамках традиционных лекций.
Решения: как легализовать профессию
Чтобы создать понятную и легальную профессию, нужно:
Отказаться от термина «белый хакер» в пользу точного определения: «специалист ИБ по проведению тестов на проникновение». Это снимет мифологизацию и чётко опишет суть работы.
Создать профессиональный стандарт и внести его в реестр Минтруда России. Это даст:
документально закреплённый перечень функций и целей;
чёткие критерии для оценки деятельности;
основу для разграничения легальной работы и преступлений.
Разработать профильный ФГОС ВО на базе нового стандарта. Особенности программы:
акцент на самостоятельное мышление, а не воспроизведение знаний;
практическая работа вместо лекций;
включение игровых форм обучения (например, CTF) в образовательные программы;
проведение внутривузовских CTF и учёт их результатов в итоговой оценке.
Скорректировать ФГОС ООО - заложить основы информационной безопасности ещё на школьном уровне.
Решать вопрос ответственности после оформления профессии. Те, кто действует в рамках стандарта, - законопослушные специалисты. Нарушители - злоумышленники, подлежащие ответственности.
Выводы
Проблема не в недостатке уголовных норм, а в отсутствии чёткого определения профессии. Пока не зафиксированы её границы, функции и цели, неизбежно возникает неопределённость - в т. ч. в отношении того, кого именно предлагается наказывать.
Что нужно сделать:
зафиксировать профессию в профессиональных стандартах;
создать систему подготовки специалистов;
внедрить практико‑ориентированное обучение;
разграничить легальную деятельность и преступления на основе стандарта.
Только так можно сделать востребованную профессию легальной, понятной и безопасной для бизнеса и государства.
