Совет Федерации призвал Минцифры РФ максимально быстро узаконить деятельность белых хакеров

Артём Шейкин, представитель Совета по развитию цифровой экономики при СФ РФ, утверждает, что его ведомство уже рекомендовало Минцифры РФ выполнить необходимые действия для разработки проекта закона, который будет узаконивать деятельность в сфере обнаружения уязвимостей в ПО за вознаграждение, а также определять границы ответственности так называемых «белых хакеров». Об этом сообщило агентство ТАСС.

Как рассказали журналисты, в их распоряжении есть документ, в котором говорится, что Совет Федерации рекомендует Министерству цифрового развития РФ максимально ускорить деятельность по созданию соответствующей законодательной инициативы, которая будет направлена на интеграцию в российское правовое поле деятельности по обнаружению уязвимостей в программном обеспечении за вознаграждение, а также на определение границ ответственности экспертов по выявлению ошибок и багов в программном обеспечении.

По словам Артёма Шейкина, который возглавляет секцию по технологическому суверенитету и кибербезопасности в Совете Федерации, инициатива по созданию проекта закона, который бы вводил понятие «bug bounty» (обнаружение уязвимостей в ПО за вознаграждение), в российское правовое поле, обсуждается с лета 2022 года. В этом проекте закона идет речь о том, что должны быть внесены изменения в статью 272 УК РФ «Неправомерный доступ к компьютерной информации».

Сенатор подчеркнул, что продвижение проекта закона в настоящее время затруднено из-за позиции некоторых контролирующих госструктур. Вопрос в том, что границы между уголовно наказуемыми деяниями и легальными, а также между ответственностью экспертов по информационной безопасности и ответственностью владельцев систем, «весьма зыбкие».

Александр Герасимов, CISO Awillix, прокомментировал: «Сейчас во многих странах проводятся обсуждения и принимаются законодательные меры, направленные на установление правового статуса для белых хакеров. С учётом существования платформ Bug Bounty, узаконивание деятельности белых хакеров кажется логичным продолжением в направлении признания важности проблемы обеспечения высокого уровня информационной безопасности автоматизированных систем РФ.

Разумеется, никто не ожидает молниеносных решений в этом направлении, но регулирование любой деятельности обязательно должно быть, даже несмотря на зыбкость границ между уголовно наказуемыми деяниями и легальными. Как пример, атомная энергетика, которая тоже имеет потенциал к «не мирному» использованию, но её деятельность успешно регулируется нормативно-правовыми актами.

Статья 34 Конституции РФ закрепляет принцип, что «каждый имеет право на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности». А статьей 421 Гражданского кодекса РФ установлен принцип свободы договора, согласно которому, можно заключать любой договор с условиями, не запрещенными законом. Сейчас заказчики ищут исполнителей и самостоятельно определяют критерии и условия сотрудничества. Участие Белого хакера в программе по поиску уязвимостей за деньги фактически является договором оказания услуг и предполагает, что компании, принимающие участие в проекте, добровольно предоставляют свои сети для поиска уязвимостей. При правильно составленном Соглашении полностью исключается уголовная ответственность, но механизм работает, только если Багхантер не выходит за пределы своих прав по этому Соглашению. Юридические риски присутствуют в виде квалификации действий Белых хакеров по ст. 272 Уголовного кодекса РФ, как неправомерный доступ к компьютерной информации. Багхантеры при негативном стечении обстоятельства также могут столкнуться с наказанием по ст. 273 Уголовного кодекса РФ — создание, использование и распространение вредоносных компьютерных программ.
⠀
Но государство заинтересовано в развитии этичного хакинга и программ Bug Bounty. 10 февраля 2023 года Минцифры и «Ростелеком» запустили программу поиска уязвимостей на портале «Госуслуги», а также ресурсах электронного Правительства. В программах Bug bounty уже прямо сейчас заинтересованы объекты критической инфраструктуры, которые подпадают под действие Указа Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Основные ограничения связаны с отсутствием определения в законодательстве как самих исследований, так и их границ. Также пока отсутствует и правоприменительная практика».

По словам Андрея Найденова, руководителя блока анализа защищенности Infosecurity a Softline Company, легализация действий белых хакеров на уровне законодательства является необходимой и логичной мерой.

«Белые хакеры играют важную роль в обеспечении кибербезопасности, обнаруживая уязвимости в программном обеспечении и помогая компаниям устранять их. Легализация их действий позволит им работать в рамках закона и сотрудничать с организациями без страха быть преследуемыми по статье.

Создание проекта закона, который бы вводил понятие «bug bounty», будет иметь положительное влияние на рынок кибербезопасности. Это простимулирует разработчиков программного обеспечения и организации чаще обращаться к белым хакерам для проверки безопасности своих систем. Благодаря этому будет обнаружено и исправлено больше уязвимостей, что повысит уровень кибербезопасности в целом. Кроме того, это также создаст новые возможности для профессиональных белых хакеров, которые смогут официально получать вознаграждение за свою работу и развиваться в этой сфере».

Анатолий Иващук, Директор по информационной безопасности DDoS-Guard, заявил: «Сама по себе деятельность белых хакеров — пентест, анализ защищенности, аудит информационной безопасности — технически является полноценной атакой на информационные ресурсы объекта, что подпадает под статью 272 УК РФ «Неправомерный доступ к компьютерной информации». Поэтому, поскольку белые хакеры зачастую работают в режиме фриланса, а не в составе крупных корпораций с лицензиями ФСТЭК и проработанным шаблоном договора, даже если они будут действовать строго по заказу компании-клиента, без соответствующей законодательной базы их работа будет считаться нарушением УК РФ.

Разумеется, даже с учетом щедрого вознаграждения такая деятельность является риском. Чтобы ввести ее в правовое поле, Совет Федерации и рекомендует Министерству цифрового развития РФ разработать данную инициативу. Необходимо четко определить, что действия белых хакеров не нацелены на выведение из строя веб-ресурсов и получение информации незаконным образом: в отличие от злоумышленника, этичный хакер совершает проникновение и закрепляется внутри исследуемых ресурсов, чтобы предоставить заказчику максимально полную информацию обо всех выявленных угрозах и уязвимостях.

Со стороны заказчика очень важно четко регламентировать процесс и определить границы поля деятельности хакера, например, внешний или внутренний анализ защищенности, работа с конкретным доменом или указанным диапазоном IP-адресов, или же действия в рамках определенного вектора атаки.

Порядок таких взаимоотношений и нужно отразить законодательно. Это непростая задача. Например, социальная инженерия предполагает работу с персональными данными сотрудников и даже атаку — не на ресурс, а на сотрудника, чтобы выявить его паттерны поведения и связанные с ними риски для компании. Будет ли хакер нести ответственность за обнаруженные личные данные, которые утекли в сеть неправомерно и находятся в общем доступе?

Достаточно сложно подвести такие нюансы под законодательную базу, однако, если этого не сделать, данная деятельность будет продолжаться в теневой зоне. Важно сформировать комфортные и безопасные условия, чтобы белым хакерам было выгодно работать в рамках закона. Если регулятивных нормативов будет слишком много, а требования по отчетности будут слишком жесткими, IT-специалистам вряд ли это понравится. Почувствовав для себя риски, они могут предпочесть «уйти в тень».

В российском законодательстве есть тенденция запрещать и ограничивать, поэтому надеемся, что Министерство цифрового развития сумеет предложить белым хакерам безопасные и понятные для правомерной и прибыльной работы условия».

Кай Михайлов, руководитель направления информационной безопасности iTPROTECT, отметил: «На мой взгляд, легализация действия т.н. «белых хакеров», а, по сути, одиночных профессионалов в области ИБ — логичный шаг на пути реализации стратегии цифрового суверенитета. При грамотной реализации эта инициатива поможет наладить процесс непрерывного аудита безопасности государственных информационных систем (ГИС), количество которых растет с каждым годом все быстрее.

Если обращаться к мировому опыту, то мы видим, что удачных примеров не очень много — только небольшая часть наиболее продвинутых с технологической точки зрения компаний смогла выстроить процесс таким образом, чтобы её информационные системы были официально доступны для внешних специалистов по поиску уязвимостей, и при этом извлекают из этого измеримую пользу. Дело в том что потенциальный «белый хакер» необязательно будет заинтересован в аудите той или иной системы без соблюдения множества условий. Главные из них — корректная оценка критичности найденной уязвимости и справедливая оплата полученного результата. Существует большое количество резонансных случаев, когда «белый хакер» считал полученное вознаграждение несоразмерным найденным брешам в безопасности, либо владелец ИТ-систем считал что во время поиска специалист ИБ явно вышел за рамки ограничений программы «баг баунти». Подобные случаи зачастую печально оканчиваются уголовным преследованием «белых хакеров» либо испорченной репутацией компании-заказчика.

Во избежание подобных ситуаций при запуске программ поиска уязвимостей, необходимо подготовить максимально точное техническое описание техник и методов, доступных к применению, а так же всевозможных ограничений, накладываемых на исследователя. Разумеется прописать всё это единоразово в законе не представляется возможным. Вероятно, в законе будут созданы предпосылки для некой единой системы, к которой смогут подключаться организации-заказчики. Подобная система может иметь уже готовые и проработанные варианты программ поиска уязвимостей с подробным описанием целей, вознаграждения и накладываемых ограничений. Это, в свою очередь, позволит государственным учреждениям с минимальными усилиями подключаться к подобным инициативам, не прорабатывая каждый нюанс самостоятельно, как это происходит сейчас, например с пентестами».