Эксперт Игорь Баранов: публикация сведений об уязвимости сама по себе не означает нарушение закона
Изображение: recraft
Игорь Баранов, управляющий партнёр московской коллегии адвокатов «BRAVIS», прокомментировал для CISOCLUB ситуацию вокруг намерений Microsoft добиваться правовых мер в отношении исследователя, опубликовавшего сведения о нескольких незакрытых zero-day уязвимостях Windows. По мнению эксперта, с юридической точки зрения подобная ситуация значительно сложнее, чем может показаться на первый взгляд.
Даже если исследователь нарушил сложившуюся в отрасли практику координированного раскрытия уязвимостей, это ещё не означает автоматического возникновения правовой ответственности.
«С юридической точки зрения ситуация выглядит гораздо сложнее, чем пытается представить Microsoft. Даже если исследователь нарушил принятую в индустрии практику координированного раскрытия уязвимостей, само по себе это еще не означает совершения противоправных действий», — заявил Игорь Баранов.
Он отметил, что в большинстве правовых систем ответственность наступает не за сам факт публикации информации о проблеме безопасности, а за конкретные противоправные действия, связанные с неправомерным доступом к компьютерным системам, причинением ущерба или распространением вредоносного программного обеспечения.
«В большинстве правопорядков ответственность наступает не за сообщение информации об уязвимости как таковой, а за несанкционированный доступ к компьютерным системам, причинение ущерба, распространение вредоносного программного обеспечения либо иные конкретные противоправные действия», — подчеркнул эксперт.
По словам Игоря Баранова, если исследователь самостоятельно обнаружил уязвимость, подготовил её описание и демонстрационный код, то перспективы привлечения его к ответственности исключительно за публикацию технической информации выглядят неоднозначными. Более того, подобные разбирательства могут нанести самой компании дополнительный репутационный ущерб.
«Если исследователь самостоятельно обнаружил уязвимость, подготовил описание и демонстрационный код, то перспективы привлечения его к ответственности исключительно за факт публикации технической информации выглядят весьма неоднозначными. Более того, подобные судебные процессы зачастую привлекают дополнительное внимание к самим проблемам вендора и способны нанести репутационный ущерб компании», — отметил он.
Эксперт считает, что в сложившейся ситуации Microsoft сосредоточилась не на устранении причин конфликта, а на его юридических последствиях. По его мнению, это может негативно сказаться на взаимодействии с исследовательским сообществом.
«На мой взгляд, в данной истории Microsoft выбрала неверную стратегию. Вместо обсуждения качества работы собственной программы взаимодействия с исследователями компания фактически перевела дискуссию в плоскость возможного юридического давления. Такой подход выглядит скорее попыткой устранить последствия конфликта, чем устранить его причины», — прокомментировал Игорь Баранов.
Он также обратил внимание, что механизм координированного раскрытия уязвимостей строится на взаимном доверии между исследователями и разработчиками программного обеспечения. Исследователь добровольно откладывает публикацию информации до выпуска исправлений, а вендор обязан обеспечить прозрачную процедуру рассмотрения обращений и разумные сроки реагирования.
«Особенно важно понимать, что координированное раскрытие уязвимостей основано не на угрозах, а на доверии. Исследователь добровольно соглашается не публиковать информацию до выхода исправлений, а вендор, в свою очередь, обязан обеспечить прозрачную процедуру рассмотрения обращений, уважительное взаимодействие и разумные сроки реагирования. Если одна из сторон перестает выполнять свою часть негласного соглашения, система начинает разрушаться», — отметил эксперт.
По мнению Игоря Баранова, главным вопросом в этой ситуации остаётся не сам факт недовольства Microsoft публикацией zero-day уязвимостей, а качество процессов взаимодействия с исследователями. При этом перспективы возможного судебного спора будут напрямую зависеть от того, совершал ли исследователь какие-либо противоправные действия помимо публикации информации.
«Если речь идет исключительно о выявлении и публикации информации об уязвимостях без неправомерного доступа к чужим системам и без причинения ущерба, то правовая позиция Microsoft выглядит далеко не бесспорной. В таком случае судебный спор неизбежно поставит под обсуждение не только поведение исследователя, но и качество работы самой программы MSRC», — заключил Игорь Баранов.
