Ответственное раскрытие уязвимостей: этика и практика
В условиях глобальной цифровизации, поддержание высокого уровня информационной безопасности становится одной из приоритетных задач бизнеса и государства.
Для этих целей в мировой практике широко используются услуги «Pentest» (взлом систем) и «Bug Bounty» (поиск уязвимостей) — помощь специалистов IT, которые по заданию обладателя информационной системы осуществляют поиск уязвимостей или её взлом. Специалистов по взлому систем также называют «белыми хакерами».
В нашей стране в связи с ростом цифровизации большинства сфер общественной жизни, в том числе государственных услуг, необходимость выявления уязвимостей или добровольного взлома систем белыми хакерами становится все более актуальной. Рост числа информационных инцидентов, утечек данных, рост киберпреступности и телефонного мошенничества вынуждают владельцев информационных систем принимать новые меры для улучшения информационной безопасности своих систем, в том числе путем их намеренного взлома и поиска уязвимостей.
Для этих целей компании, в том числе государственные структуры, обращаются к IT специалистами, иногда заключают гражданско-правовой договор на оказание услуг по поиску уязвимостей или взлому своей системы. Зачастую такие действия проводятся вообще без договора на основании переписки или устных договорённостей.
Такие действия специалистов, даже при условии заключения договора, формально образуют состав преступления, поскольку лицо, осуществляющее взлом системы, фактически осуществляет попытку несанкционированного доступа к информации заказчика. Исключение конечно составляют случаи, когда для взлома отводится отдельный полигон, а действия специалиста выполняются строго в соответствии с заключённым договором, но такие случаи скорее исключение, чем реальная практика.
В п. 11 Пленума Верховного Суда РФ № 37 от 15.12.2022 «О некоторых вопросах судебной практики…о преступлениях в сфере компьютерной информации» разъяснено, что не образует состава преступления использование вредоносной программы или информации лицом на принадлежащих ему компьютерных устройствах либо с согласия собственника компьютерного устройства, не преследующее цели неправомерного доступа к охраняемой законом компьютерной информации и не повлекшее несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты (например, в образовательных целях либо в ходе тестирования компьютерных систем для проверки уязвимости средств защиты компьютерной информации, к которым у данного лица имеется правомерный доступ), равно как и создание подобных программ для указанных целей.
Указанное разъяснение Верховного Суда касается ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ», и не относится ко взлому или поиску уязвимостей без использования вредоносного ПО, что квалифицируется по ст. 272 УК РФ.
Таким образом, в условиях отсутствия четкого правового регулирования, деятельность белых хакеров остаётся вне закона, а для правоохранительных органов это может быть знаком равенства с совершением преступления.
В настоящее время, многие компании в России, в том числе и Минцифры, заключают гражданско-правовые договоры с лицами и организациями, которые пытаются взломать ту или иную систему. Но такие договоры по своей правовой природе являются ничтожными, поскольку лицо обязуется по сути совершить киберпреступление, хотя и предусмотренное договором.
Так, согласно ст. 168 Гражданского кодекса РФ сделки, нарушающие требования закона или иного правового акта, являются недействительными.
Ст. 272 УК РФ запрещен неправомерный доступ к компьютерной информации, за что установлена уголовная ответственность, а действия по неправомерному получению информации, пусть и при наличии договора фактически образуют состав преступления.
Таким образом, заказчики заключают со специалистами (пентестерами) заведомо ничтожные договора, а за действия по взлому специалисту может грозить уголовная ответственность по ст. 272 УК РФ.
Понимая законодательный пробел в деятельности пентестеров, Совет Федерации летом этого года призвал Минцифры максимально ускорить деятельность по созданию законопроекта о легализации работы белых хакеров, которая будет направлена на интеграцию в российское правовое поле деятельности по обнаружению уязвимостей в программном обеспечении за вознаграждение, в том числе без использования специальных полигонов, а также на определение границ ответственности пентестеров за возможные негативные последствия их деятельности.
Ранее такой законопроект уже обсуждался в 2022 году. В нем шла речь о том, чтобы внести изменения в ст. 272 УК РФ «Неправомерный доступ к компьютерной информации». Но продвижение проекта закона фактически прекратилось из-за позиции ФСБ и ФСТЭК, которые не хотят менять Уголовный кодекс, смягчать или отменять наказание для киберпреступников, взламывающих информационные системы. Такой подход правоохранительных и контролирующих органов говорит о том, что деятельность белых хакеров для государства является незаконной, а указание Верховного Суда РФ не привлекать пентестеров по ст. 273 УК РФ не является гарантией безопасности и соблюдения прав компьютерных специалистов.
Стоит отметить, что буквально на днях стало известно, что в Государственной Думе разработан очередной проект закона о легализации «белых хакеров», который предполагает внесение поправок в УК РФ, направленных на исключение возможных рисков привлечения к уголовной ответственности лиц, тестирующих защищённость информсистем.
Вопрос в том, что границы между уголовно наказуемыми деяниями и легальными, а также между ответственностью экспертов по информационной безопасности и ответственностью владельцев систем «весьма зыбкие». А основные трудности связаны с отсутствием определения в законодательстве как самих исследований уязвимостей, так и рамок допустимых действий белых хакеров.
На практике пентестеры вместо обещанного вознаграждения за обнаруженные уязвимостей могут получить штраф и ограничение свободы по ст. 272 УК РФ («неправомерный доступ к компьютерной информации»), ведь сама по себе деятельность белых хакеров технически является полноценной атакой на информационные ресурсы объекта. Также они могут столкнуться с наказанием по ст. 273 УК РФ — создание, использование и распространение вредоносных компьютерных программ, которые повлекли за собой несанкционированное уничтожение, блокирование, модификацию, компьютерной информации или нейтрализацию средств ее защиты. Поэтому права пентестеров в настоящее время не защищены, а деятельность по взлому и/или поиску уязвимостей остаётся вне закона.
Легализация действий белых хакеров позволит специалистам работать в рамках закона и легально сотрудничать с компаниями и государством без страха быть преследуемыми по статье УК РФ. Создание законопроекта, который бы вводил понятия «Bug bounty» и «Pentest», будет иметь положительное влияние на рынок кибербезопасности, укрепит защиту отечественных информационных систем и программного обеспечения. Кроме того, это также создаст новые возможности для профессиональных белых хакеров, которые смогут официально получать вознаграждение за свою работу и развиваться в этой полезной сфере.
Отсутствие законодательного регулирования деятельности пентестеров представляет угрозу и самим заказчикам, поскольку кроме ничтожного договора других правовых механизмов регулировать действия привлечённого специалиста фактически нет. То есть, при взломе системы или выявлении ее уязвимостей, у заказчика отсутствуют гарантии, что IT специалист сообщит всю полноту сведений об обнаруженных проблемах. Также могут произойти факты кражи информации, в том числе персональных данных. Полученные сведения об уязвимостях могут быть намерено сокрыты от заказчика или сообщены ему частично/неверно. Сведения об уязвимостях впоследствии могут быть проданы конкурентам или другим лицам, что приведет к утечкам данных и другим информационным инцидентам. Поэтому легализация действий белых хакеров необходима как компьютерным специалистам, так и заказчикам.
Необходимо четко установить, что действия белых хакеров не нацелены на выведение из строя веб-ресурсов и получение информации незаконным образом, установить ответственность за сокрытие сведений об уязвимостях и/или их передаче третьим лицам.
Со стороны заказчика очень важно регламентировать процесс поиска уязвимостей и определить границы поля деятельности хакера, чтобы в процессе такой деятельности конфиденциальные/персональные данные не «утекли в сеть».
Сейчас, когда компании заключают договора на поиск уязвимостей, при попытке несанкционированного доступа (взлома) информационных ресурсов могут произойти утечки информации, о которых заказчик узнает позднее или не узнает вовсе, а конфиденциальные сведения, в том числе о гражданах и их персональных данных могут стать известны третьим лицам, в том числе киберпреступникам.
Таким образом, отсутствие закона, регламентирующего деятельность пентеста и баг баунти, потенциально несёт в себе множество рисков, как для исполнителя, так и заказчика. Порядок взаимоотношений сторон необходимо регламентировать законодательно, что будет способствовать ответственному раскрытию уязвимостей всеми участниками этой деятельности, позволит установить четкие и понятные границы данной деятельности.
