Добросовестное тестирование защищенности информационных систем предлагается вывести из-под уголовной ответственности. С такой законодательной инициативой выступил входящий к комитет по информационным технологиям депутат от ЕР. Эксперты считают инициативу весьма актуальной, отмечая при этом необходимость ее тщательной проработки, чтобы регулирование не создало «белым хакерам» новых неоправданных рисков.
Член комитета Госдумы по информационной политике Антон Немкин разработал пакет законопроектов, направленных на легализацию в РФ деятельности так называемых «белых хакеров». Как сообщает ТАСС со ссылкой на текст документа, законодательные изменения направлены на исключение возможных рисков привлечения к уголовной ответственности лиц, тестирующих защищенность информсистем.
«Подготовили пакет законопроектов, направленных на легализацию работы “белых хакеров”. Поправки предлагается внести в Уголовный кодекс (УК) РФ, в Гражданский кодекс РФ, а также в федеральный закон «Об информации, информационных технологиях и о защите информации», — сообщил Антон Немкин информагентству.
«Несмотря на очевидную пользу, которую приносит работа “белых хакеров”, они находятся в уязвимом положении с точки зрения законодательства. Это весьма странно, ведь работа по защите цифрового контура должна вестись на опережение, а не реагирования на уже случившиеся события», — добавил он.
Входящие в пакет законопроектов поправки в УК РФ направлены на исключение риска привлечения к уголовной ответственности лиц, тестирующих защищенность информсистем в соответствии с Законом об информации (N 149-ФЗ Об информации, информационных технологиях и защите информации.
А в Гражданском кодексе предлагается за лицами, правомерно владеющими экземпляром компьютерной программы, закрепить возможность её изучения и испытания в целях выявления уязвимостей. В случае её обнаружения такой тестировщик будет обязан сообщить об этом правообладателю указанной программы..
Третья инициатива наделяет обладателя информации, оператора информационных систем правом проводить мероприятия по выявлению их уязвимостей, в том числе с привлечением лиц, не являющимися его работниками.
39-летний депутат от партии «Единая Россия», член Комитета по информационной политике, информационным технологиям и связи Антон Немкин знает знает тематику законопроекта не понаслышке. Согласно биографической справке ТАСС, он окончил Академию ФСБ РФ по специальности «вычислительные машины, комплексы, системы и сети» и далее работал, и занимался бизнесом в сфере информационных технологий (увлекаясь, кроме того, профессионально автогонками). Является членом наблюдательного совета Российской ассоциации криптоэкономики, искусственного интеллекта и блокчейна.,
Получение несанкционированного доступа к информации или попросту «взлом» системы — процесс сложный и многоступенчатый, указывает главный инженер проектов «ДиСи Инжиниринг» Артём Ильченко. Главная угроза, полагает он, это вовсе не программы, а люди, и главный метод взломщика — выведывание информации обманным путем (это называют «социальный инжиниринг»). И хотя цели «белых» и «черных» хакеров диаметрально противоположны, методы для их достижения одинаковы.
Внешне, поясняет эксперт, деятельность «белых» хакеров отвечает квалифицирующим признакам определенных преступлений, и на сегодняшний день достаточно заявления в полицию, чтобы по формальным признакам осудить человека.
Разумеется, данный правовой парадокс — анахронизм, возникший в эпоху когда информационные технологии только развивалось и зачастую казались «игрушкой для очкариков». Сейчас же любой новый продукт, любая ИТ-инфраструктура любого предприятия в идеале должна регулярно подвергаться тестам на проникновение, а «белые» хакеры иметь возможность спокойно работать в легальном правовом поле. Поэтому, такую инициативу можно только приветствовать, говорит эксперт.
«Однако, как всегда, когда дело дойдёт до конкретных механизмов реализации, возможны проблемы. Пока сфера не регулируется, никто толком и не знает, как привлечь “белого” хакера. С появлением конкретных норм и правил, если они, как это иногда бывает, окажутся разработаны наспех, есть вероятность что риски для благонадежного тестировщика только вырастут. Будем отслеживать изменения и смотреть на правоприменительную практику», — рассуждает Артём Ильченко.
Сама по себе инициатива оградить от сферы уголовного права лиц, которые выполняют работы по тестированию системы, тем самым осуществляя к ней de facto несанкционированный доступ, заслуживает внимания и поддержки, уверена руководитель экспертного центра «Деловой России» по уголовно-правовой политике и исполнению судебных актов, проректор по развитию и взаимодействию с государственными органами Государственного академического университета гуманитарных наук (ГАУГН) Екатерина Авдеева.
Это, по ее словам, устраняет правовую неопределенность квалификации таких действий. И если, например, при тестировании реализуется риск уничтожения, блокирования, модификации либо копирования компьютерной информации, то можно будет ссылаться на формальную и объективную правомерность вызвавших эти нежелательные последствия действий.
Также, будет приниматься во внимание, что конечной целью лиц, осуществляющих работы по тестированию системы, был не несанкционированный доступ, а указанное тестирование. Не всегда, отмечает эксперт, правоприменительная практика складывается исходя из «духа» закона, так, иногда происходит смещение в сторону формального вменения, поэтому важно, чтобы не оставалось место для расширительного применения нормы.
Пока законопроект не представлен, поэтому сложно говорить, достаточно ли четко описаны изъятия в применении ст. 272 УК РФ, а также достаточно ли обоснована необходимость таких изменений в пояснительной записке, указывает Екатерина Авдеева. Но в случае, если эти условия выполнены, законопроект наконец разграничит деятельность так называемых «белых хакеров» от злоумышленников.
С другой стороны очень важно, полагает она, чтобы такая инициатива не стало лазейкой для тех, кто будет прикрываться якобы правомерными действиями, фальсифицируя при этом, например, соглашения с владельцем системы.
Также эксперт отмечает, что в постановлении пленума Верховного суда РФ от 15.12.2022 N 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть "Интернет"» указывается на то, что целью должна быть, например, утрата возможности восстановления данных. Вместе с тем, в вышеуказанном Пленуме не сказано что-либо о проведении работ по тестированию таких систем по заданию заказчика. Поэтому, если проблема такой правоприменительной практики депутатом действительно выявлена, то целесообразно и говорить об инициировании внесения дополнений и в соответствующее постановление пленума.
Инициативу по внесению изменений в УК и легализации «белых хакеров» начали обсуждать еще в прошлом году, но тогда законопроект отложили. Сейчас к нему вернулись вновь, и это правильно, считает генеральный директор студии разработки цифровых решений для бизнеса OASIS App и стартап-академии Products School Климент Кузьмин. Специфика специалистов в области кибербезопасности состоит в том, поясняет он, что они в любой момент могут из героев превратится в преступников. И чем выше уровень профессионализма, тем строже может быть наказание.
«Предположим, хакер проверяет государственный сайт на предмет уязвимостей. Находит “лазейки” в безопасности и детально описываете их в отчете. Затем через какое-то время сайт взламывают из-за границы через эти “лазейки”. Кто, в первую очередь, оказывается под подозрением? Естественно тот, кто проводил тестирование, хотя это может оказаться кто угодно. Если один специалист нашел лазейки, и их оперативно не закрыли, это может сделать и другой специалист», — рассуждает Кузьмин.
Сейчас не совсем понятно, как будет работать законопроект. Для того, чтобы сказать наверняка какие могут появиться риски и будут ли они оправданы, надо дождаться финальной редакции законопроекта. Но сама по себе инициатива совершенно правильная и долгожданная, заключает Климент Кузьмин.
«Белые хакеры» уже легитимизированы во множестве стран, в тех же самых США, напоминает CEO&Founder Hopper IT Наталья Краснобаева. Они могут быть как независимыми профессионалами, так и работниками организаций, занимающихся информационной безопасностью. Существуют специальные «биржи» для «белых хакеров» — площадки, которые объединяют взломщиков и компании, которые хотят проверить свою уязвимость.
Само явление и в России существует не первый год, рассказывает эксперт. По некоторым данным, их количество исчисляется десятками тысяч человек. И очень здорово, что это понятие, наконец, решили ввести в правовое поле. Потому что какими бы не были благие побуждения «белых хакеров», сейчас они работают на грани — с одной стороны они помогают разработчикам искать бреши в их продуктах по их же просьбе, с другой — они, по сути, делают тоже самое что и обычные хакеры-злоумышленники, и, де-юре, нарушают закон.
Выход «белых хакеров» из тени приведет к стремительному развитию этого направления, уверена Наталья Краснобаева. В странах, где bug bounty уже разрешен, белые разработчики крайне востребованы. Компании назначают огромные вознаграждения за найденные баги в своих системах, и тем самым значительно повышают свою кибербезопасность. В связи с этим есть основания считать, что и в России легитимизация «белых хакеров» приведет к значительному росту информационной безопасности. Количество результативных кибератак станет меньше, а экономический эффект через сокращение потенциальных финансовых потерь окажется весьма ощутимым.