Этика в ИБ: почему самый слабый компонент - человеческий фактор
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС
Контакты: legascom.ru, petukhov@legascom.ru
О чём статья
Статья раскрывает этические вызовы в работе белых хакеров и специалистов по ИБ. В фокусе - расхождение между растущими техническими компетенциями и отстающими правовыми и культурными рамками, внутренние риски выгорания и ухода в «серую зону», а также состояние регулирования в России. Материал полезен для аудиторий: специалисты по кибербезопасности, пентестеры, багхантеры, HR и руководители ИБ‑команд, юристы в сфере ИТ.
Этика как часть системы безопасности
В ИБ этика перестала быть личным качеством - это компонент информационной системы и одновременно её уязвимое место. Проблема в том, что профессиональные навыки развиваются быстрее, чем право и культура взаимодействия. Из‑за этого этика становится точкой напряжения: специалист получает доступ и возможности, но не всегда имеет чёткие границы и понятные последствия за их пересечение.
Особенно остро это ощущается у молодых специалистов: в 20–25 лет они впервые получают root‑доступ и видят, как одним действием могут повлиять на систему, которой доверяют тысячи пользователей. Для поколения, выросшего в цифровом пространстве, поиск обходных путей - естественное состояние. Отсюда возникает опасное чувство вседозволенности: «если я могу - почему не должен?»
Внутренний конфликт и когнитивный диссонанс
Дилемма «сдать или продать» - лишь верхушка айсберга. Чаще специалист сталкивается с более тонкой этической проблемой: заказчик долго не реагирует на критическую уязвимость (например, RCE), а чувство ответственности и желание доказать значимость своей работы нарастают.
Бюрократия, закрытые тикеты и размытые дедлайны усиливают когнитивный диссонанс: формально всё сделано правильно, но система вокруг - нет. В таких условиях этическая архитектура специалиста начинает расшатываться.
Сдерживающие факторы: расчёт, карьера, сообщество
Есть несколько механизмов, которые удерживают специалистов от перехода в «серую зону»:
Расчёт рисков. Любое действие оставляет цифровой след, а выход за рамки - риск для будущей карьеры.
Карьерные перспективы. Легальные пути (консалтинг, багбаунти, публичность) в долгосрочной перспективе выгоднее сиюминутной выгоды.
Сообщество как система саморегуляции. Коллеги замечают аномалии в поведении («странные траты», закрытость, раздражение) - это негласный SIEM‑мониторинг внутри комьюнити.
Выгорание и эрозия этики
Выгорание - тихая, но серьёзная угроза. После сотен пентестов взгляд превращается в сканер: мир видится как цепочка уязвимостей. В этот момент логика кода проникает в этику: «if (isExploitable) { return true; }». Этика начинает восприниматься как протокол, который можно обойти «если очень надо».
Правовой статус белых хакеров в России
В России продолжаются попытки создать правовые рамки для этичных исследователей:
В 2023 году в Госдуму внесли законопроект о легализации специалистов, ищущих уязвимости без причинения вреда.
В июле 2025 года документ отклонили из‑за рисков для КИИ и гостайны.
Сейчас обсуждается новая версия: система уведомлений и добровольная регистрация исследователей.
На текущий момент статус белого хакера остаётся подвешенным: можно действовать по закону и всё равно оказаться вне его. Это усиливает психологическое давление: специалист не только ищет уязвимости в коде, но и постоянно защищает собственную правовую зону.
Главный вывод: уязвимость - в отсутствии зрелых институтов
Этика в ИБ часто подаётся как личный выбор, но на деле она отражает среду. Если системе дают высокую компетенцию без чётких границ и понятных последствий, она сама подталкивает специалиста к «серой зоне». Люди выгорают, ошибаются, рационализируют - рассчитывать только на их «правильность» недостаточно.
Самая сложная брешь - не в ПО, а в этической архитектуре самого специалиста. Но и её невозможно «запатчить» в одиночку: проблема системная. Пока не появятся зрелые институты, способные работать с высокой компетенцией (чёткие регламенты, прозрачные процессы, механизмы защиты исследователей), этика останется самым нестабильным компонентом безопасности - тем, что ломается первым под давлением реальности.
