Добросовестное тестирование защищенности информационных систем предлагается вывести из-под уголовной ответственности. С такой законодательной инициативой выступил входящий к комитет по информационным технологиям депутат от ЕР. Эксперты считают инициативу весьма актуальной, отмечая при этом необходимость ее тщательной проработки, чтобы регулирование не создало «белым хакерам» новых неоправданных рисков.
Поправки сразу в три закона
Член комитета Госдумы по информационной политике Антон Немкин разработал пакет законопроектов, направленных на легализацию в РФ деятельности так называемых «белых хакеров». Как сообщает ТАСС со ссылкой на текст документа, законодательные изменения направлены на исключение возможных рисков привлечения к уголовной ответственности лиц, тестирующих защищенность информсистем.
«Они не помнят нас хороших, пусть не забудут нас плохих»
«Подготовили пакет законопроектов, направленных на легализацию работы “белых хакеров”. Поправки предлагается внести в Уголовный кодекс (УК) РФ, в Гражданский кодекс РФ, а также в федеральный закон «Об информации, информационных технологиях и о защите информации», — сообщил Антон Немкин информагентству.
«Несмотря на очевидную пользу, которую приносит работа “белых хакеров”, они находятся в уязвимом положении с точки зрения законодательства. Это весьма странно, ведь работа по защите цифрового контура должна вестись на опережение, а не реагирования на уже случившиеся события», — добавил он.
Входящие в пакет законопроектов поправки в УК РФ направлены на исключение риска привлечения к уголовной ответственности лиц, тестирующих защищенность информсистем в соответствии с Законом об информации (N 149-ФЗ Об информации, информационных технологиях и защите информации.
А в Гражданском кодексе предлагается за лицами, правомерно владеющими экземпляром компьютерной программы, закрепить возможность её изучения и испытания в целях выявления уязвимостей. В случае её обнаружения такой тестировщик будет обязан сообщить об этом правообладателю указанной программы..
Третья инициатива наделяет обладателя информации, оператора информационных систем правом проводить мероприятия по выявлению их уязвимостей, в том числе с привлечением лиц, не являющимися его работниками.
39-летний депутат от партии «Единая Россия», член Комитета по информационной политике, информационным технологиям и связи Антон Немкин знает знает тематику законопроекта не понаслышке. Согласно биографической справке ТАСС, он окончил Академию ФСБ РФ по специальности «вычислительные машины, комплексы, системы и сети» и далее работал, и занимался бизнесом в сфере информационных технологий (увлекаясь, кроме того, профессионально автогонками). Является членом наблюдательного совета Российской ассоциации криптоэкономики, искусственного интеллекта и блокчейна.,
Правовой парадокс и анахронизм — но важно не сделать хуже
Получение несанкционированного доступа к информации или попросту «взлом» системы — процесс сложный и многоступенчатый, указывает главный инженер проектов «ДиСи Инжиниринг» Артём Ильченко. Главная угроза, полагает он, это вовсе не программы, а люди, и главный метод взломщика — выведывание информации обманным путем (это называют «социальный инжиниринг»). И хотя цели «белых» и «черных» хакеров диаметрально противоположны, методы для их достижения одинаковы.
Внешне, поясняет эксперт, деятельность «белых» хакеров отвечает квалифицирующим признакам определенных преступлений, и на сегодняшний день достаточно заявления в полицию, чтобы по формальным признакам осудить человека.
Разумеется, данный правовой парадокс — анахронизм, возникший в эпоху когда информационные технологии только развивалось и зачастую казались «игрушкой для очкариков». Сейчас же любой новый продукт, любая ИТ-инфраструктура любого предприятия в идеале должна регулярно подвергаться тестам на проникновение, а «белые» хакеры иметь возможность спокойно работать в легальном правовом поле. Поэтому, такую инициативу можно только приветствовать, говорит эксперт.
«Однако, как всегда, когда дело дойдёт до конкретных механизмов реализации, возможны проблемы. Пока сфера не регулируется, никто толком и не знает, как привлечь “белого” хакера. С появлением конкретных норм и правил, если они, как это иногда бывает, окажутся разработаны наспех, есть вероятность что риски для благонадежного тестировщика только вырастут. Будем отслеживать изменения и смотреть на правоприменительную практику», — рассуждает Артём Ильченко.
Сама по себе инициатива оградить от сферы уголовного права лиц, которые выполняют работы по тестированию системы, тем самым осуществляя к ней de facto несанкционированный доступ, заслуживает внимания и поддержки, уверена руководитель экспертного центра «Деловой России» по уголовно-правовой политике и исполнению судебных актов, проректор по развитию и взаимодействию с государственными органами Государственного академического университета гуманитарных наук (ГАУГН) Екатерина Авдеева.
Это, по ее словам, устраняет правовую неопределенность квалификации таких действий. И если, например, при тестировании реализуется риск уничтожения, блокирования, модификации либо копирования компьютерной информации, то можно будет ссылаться на формальную и объективную правомерность вызвавших эти нежелательные последствия действий.
Также, будет приниматься во внимание, что конечной целью лиц, осуществляющих работы по тестированию системы, был не несанкционированный доступ, а указанное тестирование. Не всегда, отмечает эксперт, правоприменительная практика складывается исходя из «духа» закона, так, иногда происходит смещение в сторону формального вменения, поэтому важно, чтобы не оставалось место для расширительного применения нормы.
Пока законопроект не представлен, поэтому сложно говорить, достаточно ли четко описаны изъятия в применении ст. 272 УК РФ, а также достаточно ли обоснована необходимость таких изменений в пояснительной записке, указывает Екатерина Авдеева. Но в случае, если эти условия выполнены, законопроект наконец разграничит деятельность так называемых «белых хакеров» от злоумышленников.
С другой стороны очень важно, полагает она, чтобы такая инициатива не стало лазейкой для тех, кто будет прикрываться якобы правомерными действиями, фальсифицируя при этом, например, соглашения с владельцем системы.
Также эксперт отмечает, что в постановлении пленума Верховного суда РФ от 15.12.2022 N 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть "Интернет"» указывается на то, что целью должна быть, например, утрата возможности восстановления данных. Вместе с тем, в вышеуказанном Пленуме не сказано что-либо о проведении работ по тестированию таких систем по заданию заказчика. Поэтому, если проблема такой правоприменительной практики депутатом действительно выявлена, то целесообразно и говорить об инициировании внесения дополнений и в соответствующее постановление пленума.
«Белые хакеры» работают на грани
Инициативу по внесению изменений в УК и легализации «белых хакеров» начали обсуждать еще в прошлом году, но тогда законопроект отложили. Сейчас к нему вернулись вновь, и это правильно, считает генеральный директор студии разработки цифровых решений для бизнеса OASIS App и стартап-академии Products School Климент Кузьмин. Специфика специалистов в области кибербезопасности состоит в том, поясняет он, что они в любой момент могут из героев превратится в преступников. И чем выше уровень профессионализма, тем строже может быть наказание.
«Предположим, хакер проверяет государственный сайт на предмет уязвимостей. Находит “лазейки” в безопасности и детально описываете их в отчете. Затем через какое-то время сайт взламывают из-за границы через эти “лазейки”. Кто, в первую очередь, оказывается под подозрением? Естественно тот, кто проводил тестирование, хотя это может оказаться кто угодно. Если один специалист нашел лазейки, и их оперативно не закрыли, это может сделать и другой специалист», — рассуждает Кузьмин.
Сейчас не совсем понятно, как будет работать законопроект. Для того, чтобы сказать наверняка какие могут появиться риски и будут ли они оправданы, надо дождаться финальной редакции законопроекта. Но сама по себе инициатива совершенно правильная и долгожданная, заключает Климент Кузьмин.
«Белые хакеры» уже легитимизированы во множестве стран, в тех же самых США, напоминает CEO&Founder Hopper IT Наталья Краснобаева. Они могут быть как независимыми профессионалами, так и работниками организаций, занимающихся информационной безопасностью. Существуют специальные «биржи» для «белых хакеров» — площадки, которые объединяют взломщиков и компании, которые хотят проверить свою уязвимость.
Само явление и в России существует не первый год, рассказывает эксперт. По некоторым данным, их количество исчисляется десятками тысяч человек. И очень здорово, что это понятие, наконец, решили ввести в правовое поле. Потому что какими бы не были благие побуждения «белых хакеров», сейчас они работают на грани — с одной стороны они помогают разработчикам искать бреши в их продуктах по их же просьбе, с другой — они, по сути, делают тоже самое что и обычные хакеры-злоумышленники, и, де-юре, нарушают закон.
Выход «белых хакеров» из тени приведет к стремительному развитию этого направления, уверена Наталья Краснобаева. В странах, где bug bounty уже разрешен, белые разработчики крайне востребованы. Компании назначают огромные вознаграждения за найденные баги в своих системах, и тем самым значительно повышают свою кибербезопасность. В связи с этим есть основания считать, что и в России легитимизация «белых хакеров» приведет к значительному росту информационной безопасности. Количество результативных кибератак станет меньше, а экономический эффект через сокращение потенциальных финансовых потерь окажется весьма ощутимым.
Комментарии закрыты.