Член комитета Госдумы по информполитике, федеральный координатор партпроекта «Цифровая Россия» Антон Немкин на конференции Kuban CSC 2023 анонсировал разработку пакета законопроектов о легализации «белых хакеров». Он предполагает набор поправок в различных законы, который позволят декриминализировать деятельность по исследователей безопасности информационных систем, которые помогают сделать защиту лучше и надежнее.
Пентесты и Bug Bounty
При проникновении в информационную систему «белые хакеры» используют такие способы и инструменты, которые по замыслу создателей информационной системы должны пресекаться с ее подсистемой защиты. Такие действия, даже если они исполняются с согласия обладателя информации и по его поручению, могут образовать состав преступления сразу по нескольким статьям Уголовного кодекса.
Например, для проведения тестирования защищенности исполнителям требуется получить разрешения от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав. В таком случае «белых хакеров» могут обязать выплатить компенсации в размере от 10 тыс. руб. до 5 млн руб., либо в двукратном размере стоимости права использования соответствующей программы. А с учетом высокой стоимости программ некоторых информационных систем, имеет место риск и привлечения к ответственности по статье 146 Уголовного кодекса.
Помимо поправок в УК РФ и Гражданский кодекс, планируется также внести изменения и в “трехглавый” закон №149-ФЗ “об информации…”, а именно — на законодательном уровне закрепить возможность обладателя информации, оператора информационных систем в порядке и на условиях, определяемыми им, проводить мероприятия по выявлению уязвимостей информсистем, в том числе с привлечением лиц, не являющимися его работниками. При этом правительство будет вправе устанавливать требования к порядку и условия проведения таких мероприятий.
«Все перечисленные аспекты, на мой взгляд, должны быть четко отрегулированы в законодательстве, – считает Антон Немкин. – Работа в этом направлении уже ведется нами, и скоро мы ее сможем представить. Важно, чтобы работа «белых хакеров» сегодня стала таким же обыденным и необходимым инструментом как, например, независимый внешний аудит финансовой отчетности. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам – в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы».
Потребность в пентестерах и багхантерах
Рынок проведения тестов на проникновения (пентестов) и коммерческого поиска уязвимостей в информационных системах (багхантинг) был сформирован на западе уже достаточно давно, однако с 2022 года он стал недоступен — иностранные разработчики таких продуктов и платформ отказались работать с российскими компаниями. В результате, только в 2022 году в России было запущено сразу три платформы для коммерческого поиска уязвимостей и проведения пентестов, которые и позволили заместить иностранных “белых” хакеров. Однако юридически вопросы предоставления подобных услуг до конца не проработаны, а для формирования устойчивого рынка они должны быть полностью сняты.