Кабінет Міністрів України ухвалив постанову №1580 від 3 грудня 2025 року, якою вперше створено законодавчу базу для офіційного залучення етичних хакерів до пошуку вразливостей у державних інформаційних системах та на об’єктах критичної інформаційної інфраструктури.

Як працюватиме нова система

Постанова встановлює чіткі правила взаємодії між державою та кіберспільнотою. Пошук вразливостей тепер здійснюватиметься за трьома напрямами:

1. CERT-UA, галузеві CSIRT та власники систем — постійно моніторять, збирають і аналізують інформацію про вразливості.
2. Державний центр кіберзахисту Держспецзв’язку (ДЦКЗ) — проводить планове та позапланове сканування державних вебресурсів і тестування під час оцінки захищеності.
3. Залучення зовнішніх дослідників — офіційно дозволене й регламентоване.

Легалізація Bug Bounty

Документ вносить зміни до Порядку №497, якими:

• легалізуються програми Bug Bounty на постійній основі;
• створюється механізм узгодженого розкриття вразливостей (Coordinated Vulnerability Disclosure);
• визначаються умови для дослідників та організаторів програм.

Основою Bug Bounty є публічна пропозиція, де власник системи визначає обсяг тестування, правила подання звітів, дозволені дії та джерела винагороди.

Обов’язки та права дослідників

Фахівці, які беруть участь у Bug Bounty або діють у межах узгодженого розкриття, повинні:

• не втручатися у роботу системи та не експлуатувати вразливість;
• у разі виявлення проблеми протягом 24 годин повідомити і власника системи, і CERT-UA (або відповідну CSIRT);
• дотримуватися умов конкретної програми Bug Bounty (якщо беруть участь у ній).

Механізм узгодженого розкриття дозволяє легально повідомляти про вразливості навіть тим, хто не бере участі в Bug Bounty.

Роль CERT-UA

CERT-UA визначена національним координатором, який:

• отримує повідомлення про вразливості;
• аналізує їх;
• передає інформацію через захищені канали;
• координує усунення загроз;
• взаємодіє з європейською базою вразливостей ENISA.

Що це змінює

Завдяки постанові Україна:

• переводить співпрацю з “білими хакерами” з неформальної “сірої зони” в правове поле;
• імплементує практики, що відповідають рекомендаціям ENISA і європейським стандартам;
• зміцнює захист державних ресурсів шляхом раннього виявлення потенційних загроз;
• робить крок до глибшої інтеграції в європейський кіберпростір.