Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Силовики выступили против легализации «белых» хакеров

Сейчас таких специалистов используют в том числе для проверки уязвимости «Госуслуг»
МВД и Генпрокуратура выступили против легализации «белых» хакеров
Силовики выступили против легализации «белых» хакеров: они опасаются, что это помешает наказывать реальных киберпреступников. Сами этичные хакеры не готовы открыто работать из-за риска уголовного преследования
Фото: Rob Kim / Getty Images
Фото: Rob Kim / Getty Images

Генпрокуратура, МВД и Следственный комитет выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта «белыми» хакерами по заданию заказчика. Об этом сообщили представители этих ведомств на обсуждении соответствующих поправок в Госдуме во вторник, 28 ноября (РБК ознакомился с аудиозаписью совещания, ее подлинность подтвердили два участника мероприятия).

Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации деятельности «белых» хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в ПО за вознаграждение.

В феврале 2023-го глава комитета Госдумы по информполитике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности и что такой вопрос планируется проработать. Но в марте «Ведомости» со ссылкой на источник писали, что движение законопроекта осложнилось из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК).

«Касперский» назвал наиболее частые цели атак хакеров
Технологии и медиа
Фото:Владислав Шатило / РБК

Сам пакет законопроектов до сих пор не внесен в Госдуму. РБК ознакомился с рабочей версией документов (их подлинность подтвердил собеседник, близкий к авторам поправок), они предлагают внести поправки в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. Помимо легализации создания и использования вредоносного софта «белыми» хакерами по заданию заказчика, предлагается:

  • дать «белым» хакерам возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных «дырах» правообладателю софта;
  • предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей;
  • правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty).

За и против

Присутствовавший на обсуждении поправок 28 ноября начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры России Алексей Алборов заявил, что уголовное законодательство действует только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. «Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений», — пояснил Алборов. Константин Комарды, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета, настаивает, что, несмотря на законодательную возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает. «Если человек заключает договор или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления», — пояснил Комарды.

Программа развития РБК Pro Освойте 52 навыка за год
Программа развития — удобный инструмент непрерывного обучения новым навыкам для успешной карьеры

Сайты выставки-форума «Россия» подверглись хакерской атаке
Политика

По его словам, главный фактор для привлечения к ответственности — это наличие вины. Человек должен совершать преступление осознанно, для причинения негативных последствий. Только в этом случае образуется состав преступления, заверил Комарды. «Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними», — заявил он. Позицию Генпрокуратуры и Следственного комитета поддержал представитель МВД.

Один из участников совещания отметил, что, если поправки будут приняты, хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование инфорсистемы, чтобы доказать свою невиновность, и доказать обратное будет достаточно сложно.

Минцифры, по словам замдиректора департамента обеспечения кибербезопасности этого министерства Айсалу Бадягиной, поддерживает законопроект. В мае в Минцифры заявляли, что в ходе программы по поиску уязвимостей на портале «Госуслуги» было обнаружено 34 уязвимости, большинство из которых имели средний и низкий уровень критичности.

По словам директора по продуктовому развитию группы «Солар» Владимира Бенгина, также присутствовавшего на совещании, более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.

Хакеры взломали сайт оператора платежной системы «Мир»
Финансы
Фото:Олег Яковлев / РБК

Законопроект поддерживают и сами «белые» хакеры. На заседании в Центре стратегических разработок (ЦСР), которое состоялось 12 ноября (корреспондент РБК присутствовал на мероприятии), «белый» хакер Марсель Дандамаев говорил, что основная проблема сейчас заключается в том, что после обнаружения уязвимостей о ней сложно сообщить владельцу софта или системы: и государственные, и частные организации неохотно идут на контакт с «белыми» хакерами.

Кроме того, зачастую компании не реагируют должным образом на сообщения об уязвимостях, обнаруженных «белыми» хакерами. Только часть организаций полностью устраняет уязвимости после получения информации о них, в то время как остальные живут с обнаруженными уязвимостями до наступления инцидента. По мнению Дандамаева, в России необходимо создать платформу, которая могла бы упростить взаимодействие «белых» хакеров с компаниями. Такая платформа должна проводить верификацию хакеров, определять их надежность и предоставлять возможность размещать сообщения об уязвимостях. Получив уведомления, компании должны связываться с хакерами «для уточнения деталей или благодарности».

По словам депутата Антона Немкина, одного из авторов поправок, документ продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Он рассчитывает, что законопроект удастся доработать, но оговаривается, что на это уйдет не менее года. Депутат также считает, что для исключения возможных рисков необходимо обязать «белых» хакеров регистрироваться перед проведением тестирования и оставлять сообщение о своих намерениях, предоставлять свой IP-адрес.

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Курс евро на 23 февраля
EUR ЦБ: 100,44 (+0,55)
Инвестиции, 16:42
Курс доллара на 23 февраля
USD ЦБ: 92,75 (+0,31)
Инвестиции, 16:42
Израиль нанес ответный удар по позициям «Хезболлы» Политика, 17:34
Бундестаг поддержал проект об оружии для Украины без упоминания Taurus Политика, 17:34
Суд вынес рэперу Scally Milano предупреждение за пропаганду наркотиков Общество, 17:32
ОКР увидел в критериях МОК способ устранения сильнейших атлетов России Спорт, 17:28
Туск назвал дату переговоров с Украиной по блокаде границы фермерами Политика, 17:24
Британия вложит $5,7 млрд в разработку и оснащение армии дронами Политика, 17:19
Рынок концессий в сфере обращения с отходами удвоился за два года Отрасли, 17:17
Второе дыхание: как правильно завершить карьеру
Подготовьтесь к переменам и выберите, что делать дальше, с новым интенсивом РБК Pro
Купить интенсив
ЕМС объявила о продаже контрольного пакета акций менеджменту Бизнес, 17:14
В Pantera Capital заявили о новом цикле крипторынка. Главное из отчета Крипто, 17:08
Путин совершил полет на стратегическом бомбардировщике Ту-160М. Видео Политика, 17:07
Окна в пол и угловое остекление: как найти светлую квартиру РБК и ПИК, 17:02
Карен Хачанов после отказа соперника вышел в полуфинал турнира в Дохе Спорт, 16:57
В Молдавии при пересечении границы задержали уклонистов с Украины Политика, 16:53
Курс доллара с расчетами «сегодня» взлетел более чем на ₽5, превысив ₽100 Инвестиции, 16:53