Силовики выступили против легализации «белых» хакеров
Сейчас таких специалистов используют в том числе для проверки уязвимости «Госуслуг»
Генпрокуратура, МВД и Следственный комитет выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта «белыми» хакерами по заданию заказчика. Об этом сообщили представители этих ведомств на обсуждении соответствующих поправок в Госдуме во вторник, 28 ноября (РБК ознакомился с аудиозаписью совещания, ее подлинность подтвердили два участника мероприятия).
Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации деятельности «белых» хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в ПО за вознаграждение.
В феврале 2023-го глава комитета Госдумы по информполитике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности и что такой вопрос планируется проработать. Но в марте «Ведомости» со ссылкой на источник писали, что движение законопроекта осложнилось из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Сам пакет законопроектов до сих пор не внесен в Госдуму. РБК ознакомился с рабочей версией документов (их подлинность подтвердил собеседник, близкий к авторам поправок), они предлагают внести поправки в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. Помимо легализации создания и использования вредоносного софта «белыми» хакерами по заданию заказчика, предлагается:
- дать «белым» хакерам возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных «дырах» правообладателю софта;
- предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей;
- правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty).
За и против
Присутствовавший на обсуждении поправок 28 ноября начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры России Алексей Алборов заявил, что уголовное законодательство действует только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. «Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений», — пояснил Алборов. Константин Комарды, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета, настаивает, что, несмотря на законодательную возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает. «Если человек заключает договор или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления», — пояснил Комарды.
По его словам, главный фактор для привлечения к ответственности — это наличие вины. Человек должен совершать преступление осознанно, для причинения негативных последствий. Только в этом случае образуется состав преступления, заверил Комарды. «Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними», — заявил он. Позицию Генпрокуратуры и Следственного комитета поддержал представитель МВД.
Один из участников совещания отметил, что, если поправки будут приняты, хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование инфорсистемы, чтобы доказать свою невиновность, и доказать обратное будет достаточно сложно.
Минцифры, по словам замдиректора департамента обеспечения кибербезопасности этого министерства Айсалу Бадягиной, поддерживает законопроект. В мае в Минцифры заявляли, что в ходе программы по поиску уязвимостей на портале «Госуслуги» было обнаружено 34 уязвимости, большинство из которых имели средний и низкий уровень критичности.
По словам директора по продуктовому развитию группы «Солар» Владимира Бенгина, также присутствовавшего на совещании, более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.
Законопроект поддерживают и сами «белые» хакеры. На заседании в Центре стратегических разработок (ЦСР), которое состоялось 12 ноября (корреспондент РБК присутствовал на мероприятии), «белый» хакер Марсель Дандамаев говорил, что основная проблема сейчас заключается в том, что после обнаружения уязвимостей о ней сложно сообщить владельцу софта или системы: и государственные, и частные организации неохотно идут на контакт с «белыми» хакерами.
Кроме того, зачастую компании не реагируют должным образом на сообщения об уязвимостях, обнаруженных «белыми» хакерами. Только часть организаций полностью устраняет уязвимости после получения информации о них, в то время как остальные живут с обнаруженными уязвимостями до наступления инцидента. По мнению Дандамаева, в России необходимо создать платформу, которая могла бы упростить взаимодействие «белых» хакеров с компаниями. Такая платформа должна проводить верификацию хакеров, определять их надежность и предоставлять возможность размещать сообщения об уязвимостях. Получив уведомления, компании должны связываться с хакерами «для уточнения деталей или благодарности».
По словам депутата Антона Немкина, одного из авторов поправок, документ продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Он рассчитывает, что законопроект удастся доработать, но оговаривается, что на это уйдет не менее года. Депутат также считает, что для исключения возможных рисков необходимо обязать «белых» хакеров регистрироваться перед проведением тестирования и оставлять сообщение о своих намерениях, предоставлять свой IP-адрес.
Попробуйте новую функцию «ГигаЧат» — общаться голосом
Какое вино подать к ужину, если не знаешь предпочтения гостей
Как приготовить говядину в вине по-бургундски
Чем занять детей, пока взрослые общаются за столом
Как легко завести разговор в компании, где все только что познакомились
О чём надо позаботиться, если собираешься позвать много гостей
Из каких сыров и ветчин собрать тарелку закусок к вину
Что делать, если пролил красное вино на белую скатерть
Какие есть правила классической сервировки стола
Какие игры можно предложить для взрослой компании дома
Как легко запомнить имена людей, которых тебе представили
