Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Силовики выступили против легализации «белых» хакеров

Сейчас таких специалистов используют в том числе для проверки уязвимости «Госуслуг»
МВД и Генпрокуратура выступили против легализации «белых» хакеров
Силовики выступили против легализации «белых» хакеров: они опасаются, что это помешает наказывать реальных киберпреступников. Сами этичные хакеры не готовы открыто работать из-за риска уголовного преследования
Фото: Rob Kim / Getty Images
Фото: Rob Kim / Getty Images

Генпрокуратура, МВД и Следственный комитет выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта «белыми» хакерами по заданию заказчика. Об этом сообщили представители этих ведомств на обсуждении соответствующих поправок в Госдуме во вторник, 28 ноября (РБК ознакомился с аудиозаписью совещания, ее подлинность подтвердили два участника мероприятия).

Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации деятельности «белых» хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в ПО за вознаграждение.

В феврале 2023-го глава комитета Госдумы по информполитике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности и что такой вопрос планируется проработать. Но в марте «Ведомости» со ссылкой на источник писали, что движение законопроекта осложнилось из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК).

«Касперский» назвал наиболее частые цели атак хакеров
Технологии и медиа
Фото:Владислав Шатило / РБК

Сам пакет законопроектов до сих пор не внесен в Госдуму. РБК ознакомился с рабочей версией документов (их подлинность подтвердил собеседник, близкий к авторам поправок), они предлагают внести поправки в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. Помимо легализации создания и использования вредоносного софта «белыми» хакерами по заданию заказчика, предлагается:

  • дать «белым» хакерам возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных «дырах» правообладателю софта;
  • предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей;
  • правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty).

За и против

Присутствовавший на обсуждении поправок 28 ноября начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры России Алексей Алборов заявил, что уголовное законодательство действует только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. «Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений», — пояснил Алборов. Константин Комарды, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета, настаивает, что, несмотря на законодательную возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает. «Если человек заключает договор или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления», — пояснил Комарды.

Сайты выставки-форума «Россия» подверглись хакерской атаке
Политика

По его словам, главный фактор для привлечения к ответственности — это наличие вины. Человек должен совершать преступление осознанно, для причинения негативных последствий. Только в этом случае образуется состав преступления, заверил Комарды. «Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними», — заявил он. Позицию Генпрокуратуры и Следственного комитета поддержал представитель МВД.

Один из участников совещания отметил, что, если поправки будут приняты, хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование инфорсистемы, чтобы доказать свою невиновность, и доказать обратное будет достаточно сложно.

Минцифры, по словам замдиректора департамента обеспечения кибербезопасности этого министерства Айсалу Бадягиной, поддерживает законопроект. В мае в Минцифры заявляли, что в ходе программы по поиску уязвимостей на портале «Госуслуги» было обнаружено 34 уязвимости, большинство из которых имели средний и низкий уровень критичности.

По словам директора по продуктовому развитию группы «Солар» Владимира Бенгина, также присутствовавшего на совещании, более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.

Хакеры взломали сайт оператора платежной системы «Мир»
Финансы
Фото:Олег Яковлев / РБК

Законопроект поддерживают и сами «белые» хакеры. На заседании в Центре стратегических разработок (ЦСР), которое состоялось 12 ноября (корреспондент РБК присутствовал на мероприятии), «белый» хакер Марсель Дандамаев говорил, что основная проблема сейчас заключается в том, что после обнаружения уязвимостей о ней сложно сообщить владельцу софта или системы: и государственные, и частные организации неохотно идут на контакт с «белыми» хакерами.

Кроме того, зачастую компании не реагируют должным образом на сообщения об уязвимостях, обнаруженных «белыми» хакерами. Только часть организаций полностью устраняет уязвимости после получения информации о них, в то время как остальные живут с обнаруженными уязвимостями до наступления инцидента. По мнению Дандамаева, в России необходимо создать платформу, которая могла бы упростить взаимодействие «белых» хакеров с компаниями. Такая платформа должна проводить верификацию хакеров, определять их надежность и предоставлять возможность размещать сообщения об уязвимостях. Получив уведомления, компании должны связываться с хакерами «для уточнения деталей или благодарности».

По словам депутата Антона Немкина, одного из авторов поправок, документ продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Он рассчитывает, что законопроект удастся доработать, но оговаривается, что на это уйдет не менее года. Депутат также считает, что для исключения возможных рисков необходимо обязать «белых» хакеров регистрироваться перед проведением тестирования и оставлять сообщение о своих намерениях, предоставлять свой IP-адрес.

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
00 часов : 00 минут : 00 секунд
00 дней

Считаем дни
до Нового года

Реклама. ООО «БОРК Импорт»

Лента новостей
Курс евро на 18 декабря
EUR ЦБ: 108,34 (-0,36)
Инвестиции, 17 дек, 22:45
Курс доллара на 18 декабря
USD ЦБ: 103 (+0,09)
Инвестиции, 17 дек, 22:45
Россияне разделились поровну в вопросе трат на новогодний столОбщество, 05:00
Пентагон ответил на вопрос про БПЛА словами джедая из «Звездных войн»Политика, 04:38
В эфире радиостанции «Судного дня» прозвучали песня Shaman и гимн СССРТехнологии и медиа, 04:26
Экс-менеджеру «Ростеха» Лалетиной заменили срок на исправительные работыОбщество, 04:12
На Кубани заявили о плане очистить от мазута еще до 10 км берега за суткиОбщество, 03:47
Стал известен выживший во время взрыва и убийства генерала КирилловаПолитика, 03:32
Украина и США выступили против резолюции о борьбе с героизацией нацизмаПолитика, 02:58
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Курс украинской гривны к доллару обновил исторический минимумФинансы, 02:51
Госдеп заявил, что решение о переговорах может принять только КиевПолитика, 02:27
Полковник напомнил о разработке вакцины от COVID при убитом КирилловеПолитика, 02:22
Зеленский упрекнул администрацию Байдена в промедлении в поставках оружияПолитика, 01:42
NYT узнала о проверках Маска и SpaceX из-за доступа к секретным даннымПолитика, 01:22
Захарова ответила на заявление США о непричастности к убийству КирилловаПолитика, 01:06
Трамп набрал нужное количество голосов выборщиков для победы на выборахПолитика, 01:00