Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Силовики выступили против легализации «белых» хакеров

Сейчас таких специалистов используют в том числе для проверки уязвимости «Госуслуг»
МВД и Генпрокуратура выступили против легализации «белых» хакеров
Силовики выступили против легализации «белых» хакеров: они опасаются, что это помешает наказывать реальных киберпреступников. Сами этичные хакеры не готовы открыто работать из-за риска уголовного преследования
Фото: Rob Kim / Getty Images
Фото: Rob Kim / Getty Images

Генпрокуратура, МВД и Следственный комитет выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта «белыми» хакерами по заданию заказчика. Об этом сообщили представители этих ведомств на обсуждении соответствующих поправок в Госдуме во вторник, 28 ноября (РБК ознакомился с аудиозаписью совещания, ее подлинность подтвердили два участника мероприятия).

Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации деятельности «белых» хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в ПО за вознаграждение.

В феврале 2023-го глава комитета Госдумы по информполитике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности и что такой вопрос планируется проработать. Но в марте «Ведомости» со ссылкой на источник писали, что движение законопроекта осложнилось из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК).

«Касперский» назвал наиболее частые цели атак хакеров
Технологии и медиа
Фото:Владислав Шатило / РБК

Сам пакет законопроектов до сих пор не внесен в Госдуму. РБК ознакомился с рабочей версией документов (их подлинность подтвердил собеседник, близкий к авторам поправок), они предлагают внести поправки в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. Помимо легализации создания и использования вредоносного софта «белыми» хакерами по заданию заказчика, предлагается:

  • дать «белым» хакерам возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных «дырах» правообладателю софта;
  • предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей;
  • правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty).

За и против

Присутствовавший на обсуждении поправок 28 ноября начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры России Алексей Алборов заявил, что уголовное законодательство действует только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. «Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений», — пояснил Алборов. Константин Комарды, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета, настаивает, что, несмотря на законодательную возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает. «Если человек заключает договор или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления», — пояснил Комарды.

Сайты выставки-форума «Россия» подверглись хакерской атаке
Политика

По его словам, главный фактор для привлечения к ответственности — это наличие вины. Человек должен совершать преступление осознанно, для причинения негативных последствий. Только в этом случае образуется состав преступления, заверил Комарды. «Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними», — заявил он. Позицию Генпрокуратуры и Следственного комитета поддержал представитель МВД.

Один из участников совещания отметил, что, если поправки будут приняты, хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование инфорсистемы, чтобы доказать свою невиновность, и доказать обратное будет достаточно сложно.

Минцифры, по словам замдиректора департамента обеспечения кибербезопасности этого министерства Айсалу Бадягиной, поддерживает законопроект. В мае в Минцифры заявляли, что в ходе программы по поиску уязвимостей на портале «Госуслуги» было обнаружено 34 уязвимости, большинство из которых имели средний и низкий уровень критичности.

По словам директора по продуктовому развитию группы «Солар» Владимира Бенгина, также присутствовавшего на совещании, более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.

Хакеры взломали сайт оператора платежной системы «Мир»
Финансы
Фото:Олег Яковлев / РБК

Законопроект поддерживают и сами «белые» хакеры. На заседании в Центре стратегических разработок (ЦСР), которое состоялось 12 ноября (корреспондент РБК присутствовал на мероприятии), «белый» хакер Марсель Дандамаев говорил, что основная проблема сейчас заключается в том, что после обнаружения уязвимостей о ней сложно сообщить владельцу софта или системы: и государственные, и частные организации неохотно идут на контакт с «белыми» хакерами.

Кроме того, зачастую компании не реагируют должным образом на сообщения об уязвимостях, обнаруженных «белыми» хакерами. Только часть организаций полностью устраняет уязвимости после получения информации о них, в то время как остальные живут с обнаруженными уязвимостями до наступления инцидента. По мнению Дандамаева, в России необходимо создать платформу, которая могла бы упростить взаимодействие «белых» хакеров с компаниями. Такая платформа должна проводить верификацию хакеров, определять их надежность и предоставлять возможность размещать сообщения об уязвимостях. Получив уведомления, компании должны связываться с хакерами «для уточнения деталей или благодарности».

По словам депутата Антона Немкина, одного из авторов поправок, документ продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Он рассчитывает, что законопроект удастся доработать, но оговаривается, что на это уйдет не менее года. Депутат также считает, что для исключения возможных рисков необходимо обязать «белых» хакеров регистрироваться перед проведением тестирования и оставлять сообщение о своих намерениях, предоставлять свой IP-адрес.

СберПро Медиа Интересное

Меры государственной поддержки бизнеса: подборка за I квартал 2024 года

СберПро Медиа Финансы

Как новое поколение недропользователей меняет золотодобычу: кейс «Золото Дельмачик»

СберПро Медиа Интересное

Кто такой CSM? И зачем бизнесу менеджер по успеху

СберПро Медиа Туризм

Отдохнуть и полечиться. Какие туристические проекты запускались
в 2023 году в России

СберПро Медиа Интересное

На диджитал-рельсы: как правильно организовать цифровизацию в компании

СберПро Медиа Недвижимость

Барометр отрасли: рынок строительного подряда

СберПро Медиа ТМТ

В каждом смартфоне. 9 трендов в разработке мобильных приложений

СберПро Медиа Лесопромышленный комплекс

Барометр отрасли: лесопромышленный комплекс

СберПро Медиа Интересное

Как российские компании переходят на отечественные АБС-пластики

СберПро Медиа Интересное

Нейросетевой мозг
для кобота. Ключевые тренды российской робототехники

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

  

Лента новостей
Курс евро на 20 апреля
EUR ЦБ: 99,58 (-0,95)
Инвестиции, 19 апр, 16:51
Курс доллара на 20 апреля
USD ЦБ: 93,44 (-0,65)
Инвестиции, 19 апр, 16:51
Власти Грузии назвали условие отказа от закона об иноагентах Политика, 15:45
Зеленский запретил военным играть в онлайн-казино Политика, 15:31
Джокович снялся с «Мастерса» в Мадриде Спорт, 15:25
Путин поручил направить на зарплаты врачам полученные от ОМС деньги Общество, 15:12
Дюплантис восьмой раз в карьере побил мировой рекорд в прыжках с шестом Спорт, 15:11
Бастрыкин поручил найти ответственных в гибели журналиста Еремина Политика, 14:46
Галактионов ответил на вопрос о будущем Дзюбы в «Локомотиве» Спорт, 14:45
Г. Нахапетян: создание устойчивого бизнеса
Смотрите этот и еще 40+ курсов в опции Уроки Легенд
Подробнее
Британия объявила о начале производства «самого смертоносного» танка Политика, 14:34
Российская теннисистка вышла в финал турнира WTA в Штутгарте в парах Спорт, 14:34
Санкт-Петербург накрыл апрельский снегопад. Видео Общество, 14:15
Маск отложил встречу с премьером Индии из-за «серьезных обязательств» Бизнес, 13:57
Хэмилтон объяснил свой провал в квалификации Гран-при Китая Спорт, 13:55
NYT назвала число потерянных Украиной за последнее время танков Abrams Политика, 13:39
В Пулково грузовик врезался в терминал Общество, 13:31