Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Силовики выступили против легализации «белых» хакеров

Сейчас таких специалистов используют в том числе для проверки уязвимости «Госуслуг»
МВД и Генпрокуратура выступили против легализации «белых» хакеров
Силовики выступили против легализации «белых» хакеров: они опасаются, что это помешает наказывать реальных киберпреступников. Сами этичные хакеры не готовы открыто работать из-за риска уголовного преследования
Фото: Rob Kim / Getty Images
Фото: Rob Kim / Getty Images

Генпрокуратура, МВД и Следственный комитет выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта «белыми» хакерами по заданию заказчика. Об этом сообщили представители этих ведомств на обсуждении соответствующих поправок в Госдуме во вторник, 28 ноября (РБК ознакомился с аудиозаписью совещания, ее подлинность подтвердили два участника мероприятия).

Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации деятельности «белых» хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в ПО за вознаграждение.

В феврале 2023-го глава комитета Госдумы по информполитике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности и что такой вопрос планируется проработать. Но в марте «Ведомости» со ссылкой на источник писали, что движение законопроекта осложнилось из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК).

«Касперский» назвал наиболее частые цели атак хакеров
Технологии и медиа
Фото:Владислав Шатило / РБК

Сам пакет законопроектов до сих пор не внесен в Госдуму. РБК ознакомился с рабочей версией документов (их подлинность подтвердил собеседник, близкий к авторам поправок), они предлагают внести поправки в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. Помимо легализации создания и использования вредоносного софта «белыми» хакерами по заданию заказчика, предлагается:

  • дать «белым» хакерам возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных «дырах» правообладателю софта;
  • предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей;
  • правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty).

За и против

Присутствовавший на обсуждении поправок 28 ноября начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры России Алексей Алборов заявил, что уголовное законодательство действует только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. «Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений», — пояснил Алборов. Константин Комарды, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета, настаивает, что, несмотря на законодательную возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает. «Если человек заключает договор или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления», — пояснил Комарды.

Сайты выставки-форума «Россия» подверглись хакерской атаке
Политика

По его словам, главный фактор для привлечения к ответственности — это наличие вины. Человек должен совершать преступление осознанно, для причинения негативных последствий. Только в этом случае образуется состав преступления, заверил Комарды. «Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними», — заявил он. Позицию Генпрокуратуры и Следственного комитета поддержал представитель МВД.

Один из участников совещания отметил, что, если поправки будут приняты, хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование инфорсистемы, чтобы доказать свою невиновность, и доказать обратное будет достаточно сложно.

Минцифры, по словам замдиректора департамента обеспечения кибербезопасности этого министерства Айсалу Бадягиной, поддерживает законопроект. В мае в Минцифры заявляли, что в ходе программы по поиску уязвимостей на портале «Госуслуги» было обнаружено 34 уязвимости, большинство из которых имели средний и низкий уровень критичности.

По словам директора по продуктовому развитию группы «Солар» Владимира Бенгина, также присутствовавшего на совещании, более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.

Хакеры взломали сайт оператора платежной системы «Мир»
Финансы
Фото:Олег Яковлев / РБК

Законопроект поддерживают и сами «белые» хакеры. На заседании в Центре стратегических разработок (ЦСР), которое состоялось 12 ноября (корреспондент РБК присутствовал на мероприятии), «белый» хакер Марсель Дандамаев говорил, что основная проблема сейчас заключается в том, что после обнаружения уязвимостей о ней сложно сообщить владельцу софта или системы: и государственные, и частные организации неохотно идут на контакт с «белыми» хакерами.

Кроме того, зачастую компании не реагируют должным образом на сообщения об уязвимостях, обнаруженных «белыми» хакерами. Только часть организаций полностью устраняет уязвимости после получения информации о них, в то время как остальные живут с обнаруженными уязвимостями до наступления инцидента. По мнению Дандамаева, в России необходимо создать платформу, которая могла бы упростить взаимодействие «белых» хакеров с компаниями. Такая платформа должна проводить верификацию хакеров, определять их надежность и предоставлять возможность размещать сообщения об уязвимостях. Получив уведомления, компании должны связываться с хакерами «для уточнения деталей или благодарности».

По словам депутата Антона Немкина, одного из авторов поправок, документ продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Он рассчитывает, что законопроект удастся доработать, но оговаривается, что на это уйдет не менее года. Депутат также считает, что для исключения возможных рисков необходимо обязать «белых» хакеров регистрироваться перед проведением тестирования и оставлять сообщение о своих намерениях, предоставлять свой IP-адрес.

Готовые квартиры в новых кварталах

В разных районах Москвы и области

Квартиры в столице с выгодой до ₽4,5 млн

Выгодные предложения для семей с детьми

Видовые квартиры в высотных башнях

Варианты с мебелью и встроенной техникой

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.


 

Лента новостей
Курс евро на 22 ноября
EUR ЦБ: 106,08 (+0,27)
Инвестиции, 17:35
Курс доллара на 22 ноября
USD ЦБ: 100,68 (+0,46)
Инвестиции, 17:35
«Индекс страха» на Мосбирже достиг максимума с начала 2024 годаИнвестиции, 21:25
В Москве задержали мужчин, отобравших шарф у 16-летнего фаната «Динамо»Спорт, 21:18
Путин заявил о переходе конфликта на Украине на глобальный уровеньПолитика, 21:15
Кто займет ключевые посты в новой администрации ТрампаПолитика, 21:10
Аналитики рассказали о появлении нового типа войны в миреПолитика, 21:10
Путин напомнил о предпочтительном способе решения споров со странамиПолитика, 20:59
Путин напомнил об ошибке США из-за РСМДПолитика, 20:58
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Минфин США разрешил посольствам России проводить операции с ГазпромбанкомПолитика, 20:48
Не поспели за биткоином. Топ-10 криптовалют-аутсайдеров 2024 годаКрипто, 20:48
Полное видео заявления Путина о ракетахПолитика, 20:43
Путин: Россия будет предупреждать мирных жителей при ответных ударахПолитика, 20:39
Путин рассказал о погибших при ударе западными ракетамиПолитика, 20:26
Путин: применение ВСУ оружия Запада не скажется на военной операцииПолитика, 20:23
Путин сообщил об ударе баллистической ракетой по объекту на УкраинеПолитика, 20:21