Эксперт Головлев: закон о белых хакерах в России должен установить чёткие границы легального тестирования
Изображение: grok
Максим Головлев, советник по технологиям информационной безопасности компании iTPROTECT, прокомментировал для CISOCLUB подготовку законопроекта о закреплении правового статуса белых хакеров. По мнению эксперта, нормативное разделение исследователей безопасности и киберпреступников является важным шагом для развития российского рынка информационной безопасности.
Он отметил, что сегодня специалисты по тестированию на проникновение нередко работают в условиях правовой неопределённости. Многие используемые ими инструменты и методы внешне практически не отличаются от тех, которые применяют злоумышленники.
«Инициатива по нормативному разделению белых хакеров и злоумышленников действительно важна для рынка информационной безопасности. Сегодня специалист по пентесту, который ищет уязвимости в интересах компании, нередко работает в серой правовой зоне: его инструменты и методы внешне могут выглядеть так же, как действия злоумышленника — разведка, сканирование, эксплуатация уязвимостей, разработка методов проверки и скриптов», — заявил Максим Головлев.
По словам эксперта, отрасли необходимы прозрачные правила, которые позволят однозначно определить условия легитимного проведения проверок безопасности, а также границы допустимых действий исследователей.
«Поэтому отрасли нужны понятные правила игры. Закон должен закрепить, когда такие действия считаются легитимными, где проходят их границы, кто вправе проводить тестирование, на основании какого договора или внутреннего распоряжения, а также какие ограничения должны соблюдаться», — отметил он.
Максим Головлев считает, что разработчикам будущего регулирования предстоит решить непростую задачу. Необходимо обеспечить специалистам достаточные полномочия для проведения исследований, не создавая при этом избыточных административных барьеров.
«При этом задача непростая: нужен баланс между достаточными полномочиями для специалистов и избыточной бюрократизацией, которая может затормозить развитие легального рынка ИБ», — подчеркнул эксперт.
Он обратил внимание, что важной частью регулирования должны стать детально описанные процедуры проведения проверок. Речь идёт о согласовании работ с владельцами систем, определении допустимого объёма тестирования, правилах эксплуатации уязвимостей и порядке обращения с полученной информацией.
«Методика, описывающая допустимые действия: письменное согласие владельца системы, включая понимание, кто именно юридически вправе его дать; понятный объем проверок; пределы необходимой эксплуатации уязвимостей; правила безопасного хранения инструментов, скриптов и программ; а также процессы передачи и хранения информации, особенно когда работает не один специалист, а команда», — рассказал Максим Головлев.
По мнению эксперта, качественная проработка подобных механизмов позволит существенно снизить правовые риски для специалистов и компаний, занимающихся проверкой защищённости информационных систем.
«Если эти детали будут проработаны качественно, инициатива поможет снизить юридические риски для пентестеров и компаний, оказывающих такие услуги, ускорит развитие bug bounty, пентеста и red team-практик и в итоге повысит общий уровень кибербезопасности», — заключил Максим Головлев.
