Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 36
т.е. создавать софт для тестирования безопасности (читать как автотесты критических уязвимостей) незаконно. Великолепно. Очередной раз доярки рассказывают, как строить ракеты.
Здесь нет угрозы для критической инфраструктуры. Тестируйте на здоровье. Это как с сейфом. Проверяют взлом на пустом сейфе перед продажей.
Не спорю, закон конечно сыроват. Нюансы есть. Но чтобы совсем они не знают о чем пишут — здесь не так.
Не спорю, закон конечно сыроват. Нюансы есть. Но чтобы совсем они не знают о чем пишут — здесь не так.
Как доказать, для чего создавался софт — для тестирования, или для реального взлома?
Особенно, если впоследствии он был применён для взлома.
Особенно, если впоследствии он был применён для взлома.
Тестировать нужно не только перед приемкой, но и во время эксплуатации! А это уже та самая угроза критической инфраструктуре (а в некоторых случаях и государственного значения).
Если закон сырой, то может, пока не поздно, отправить его на доработку/в топку? А в такой формулировке «все мужики — насильники, а чё, инструмент то есть!»
И почему ответственности не несет оператор ИС, которую взломали? Ведь сейчас практически все интересные для взлома ИС это ИСПДн. А пострадавшим от взлома становится не оператор ИСПДн, а люди, данные которых в этой ИСПДн содержатся!
Если закон сырой, то может, пока не поздно, отправить его на доработку/в топку? А в такой формулировке «все мужики — насильники, а чё, инструмент то есть!»
И почему ответственности не несет оператор ИС, которую взломали? Ведь сейчас практически все интересные для взлома ИС это ИСПДн. А пострадавшим от взлома становится не оператор ИСПДн, а люди, данные которых в этой ИСПДн содержатся!
Забавно, что России. Получается, что взламывать сайты других стран — это окей :)
Мне кажется, что в статье не отражен главный посыл нового законопроекта. Теперь государство будет осуществлять контроль в областии обеспечения безопасности инфрастркутуры большого количества отраслей промышленности. После принятия закона организации из этого списка должны будут внести информацию критическом объекте в создаваемый реестр. После этого будут проходить плановые и внепланоыве проверки соблюдения установленных требований. Найденные недочеты должны будут быть устранены. Т.е. появится что-то типа пожарной инспекций, но для IT сферы.
Т.е. закон чисто коррупционный?
А откаты тоже будут такие как и для пожарной инспекции?
Пока не известно, но можно посмреть оригинал проекта закона.
Может и больше.
Ну то есть закон правильный и нужный, но как всегда с нюансами. Что ж, будем посмотреть…
Нет. Правильным был бы закон, регулирующий ответственность за утечку данных, т.е. за намеренные дыры (например, появившиеся от того, что ПО не обновлено). Причем «ответственность» — это не штраф, а компенсация.
Дальше следовало бы создать систему страхования от таких штук, т.е. по сути богатая компания выступала бы гарантом надежности софта (а страховщики уже придумывали бы правила и аудит).
Как результат мы обезопасили пользователей от халатности ИБ. И вот уже после этого можно говорить об уголовной ответственности атакующего.
А сейчас получается, что клиентам ПО это не поможет (т.е. у тебя не будет компенсации за то, что твои медицинские данные утекли), однако создает кормушку для силовиков и еще один повод для шантажа.
Дальше следовало бы создать систему страхования от таких штук, т.е. по сути богатая компания выступала бы гарантом надежности софта (а страховщики уже придумывали бы правила и аудит).
Как результат мы обезопасили пользователей от халатности ИБ. И вот уже после этого можно говорить об уголовной ответственности атакующего.
А сейчас получается, что клиентам ПО это не поможет (т.е. у тебя не будет компенсации за то, что твои медицинские данные утекли), однако создает кормушку для силовиков и еще один повод для шантажа.
регулирующий ответственность за утечку данных,
Согласен.
это не штраф, а компенсация.
Возможно в отдельных случаях даже реальный срок (медицина).
создать систему страхования от таких штук
А вот с этим категорически не согласен!: Допустим мы ведем БД ВИЧ-инфицированных. По вики это 8*10^5 ч… Примем за размер компенсации 5*10^6 р., и вероятность утечки — 1 раз в 100 лет. Тогда размер ежегодной страховой премии не может быть ниже 4*10^10, 40 миллиардов в год Карл! Никакой бизнес это не вытянет! Да и простите, за 40 лярдов
Боюсь, что не за горами закон, предусматривающий наказание за использование анонимайзеров и других подобных средств с целью обхода блокировок Роскомнадзора.
Почти по всем нарушениям в качестве промежуточной меры пресечения предусматриваются принудительные работы на сроки, сопоставимые со сроками возможного заключения.
Шарашка для хацкеров? Мне кажется они будут искать кучу поводов заполучить себе новых рабов лет на 10. Для охраны цифровых границ. Ну может для нападения.
А что, статьи 274 уже недостаточно?
Предлагаю превентивно посадить всех.
Назад в будущее СССР
Актуально в годовщину 25 лет развала великого государства
Разрушим до основания, а затем…
Актуально в годовщину 25 лет развала великого государства
Разрушим до основания, а затем…
Поиск нашёл
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47571-7
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47579-7
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47591-7
и ещё одну из Консультанта
tldr (я не юрист, подробности ниже):
1 Про создание и эксплуатацию программ ни слова не нашёл.
2 Обход блокировок, использование Тора, защиту от систем слежки и цензуры, использование криптовалют можно подогнать под «Неправомерное воздействие на критическую информационную инфраструктуру „
3 Можно предписывать подключать бекдоры.
4 Экстерриториальность юрисдикции по примеру США: “кто не нравится — везде достанем, где сможем».
Пушки:
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47571-7
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47579-7
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47591-7
и ещё одну из Консультанта
tldr (я не юрист, подробности ниже):
1 Про создание и эксплуатацию программ ни слова не нашёл.
2 Обход блокировок, использование Тора, защиту от систем слежки и цензуры, использование криптовалют можно подогнать под «Неправомерное воздействие на критическую информационную инфраструктуру „
3 Можно предписывать подключать бекдоры.
4 Экстерриториальность юрисдикции по примеру США: “кто не нравится — везде достанем, где сможем».
Пушки:
безопасность критической информационной инфраструктуры
Российской Федерации — состояние защищенности критической
информационной инфраструктуры Российской Федерации, при котором
проведение в отношении нее компьютерных атак не приведет к
нарушению (прекращению) функционирования критической
информационной инфраструктуры Российской Федерации и (или)
значимых ее объектов
объекты критической информационной инфраструктуры —
информационные системы, информационно-телекоммуникационные сети
государственных органов, а также информационные системы,
информационно-телекоммуникационные сети и автоматизированные
системы <...>, транспорта,
связи, кредитно-финансовой сфере, <...>;
средства обнаружения, предупреждения и ликвидации последствий
компьютерных атак — российские технологии,
1. Категорирование осуществляется исходя из следующих
критериев:
<...>
2) политическая значимость, выражающаяся в оценке ущерба
интересам Российской Федерации во внутриполитической и
внешнеполитической сферах;
3) экономическая значимость, выражающаяся в оценке снижения
экономических показателей, прямых и косвенных финансовых потерь
Российской Федерации;
5) значимость для обеспечения обороноспособности, безопасности
государства и правопорядка.
4) обеспечивать беспрепятственный доступ должностных лиц
федерального органа исполнительной власти, уполномоченного в области
обеспечения безопасности критической информационной
инфраструктуры Российской Федерации, к значимому объекту
критической информационной инфраструктуры при реализации
должностными лицами полномочий, предусмотренных статьей 13
настоящего Федерального закона.
5) непрерывное взаимодействие с государственной
системой обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы Российской
Федерации;
Статья 14. Ответственность за нарушение законодательства
Российской Федерации в области безопасности
критической информационной инфраструктуры
Российской Федерации
<...>
иностранные граждане <...> несут <...> ответственность
«Статья 274*. Неправомерное воздействие на критическую
информационную инфраструктуру
Российской Федерации
1. Создание и (или) распространение компьютерных программ либо
иной компьютерной информации, заведомо предназначенных для
неправомерного воздействия на критическую информационную
инфраструктуру Российской Федерации, включая уничтожение, блокирование, модификацию, копирование информации, содержащейся в ней, или нейтрализацию средств защиты указанной информации,
Нарушение правил эксплуатации средств хранения, обработки
или передачи охраняемой компьютерной информации, содержащейся в
критической информационной инфраструктуре Российской Федерации,
или информационных систем, информационно-телекоммуникационных
сетей и их оконечного оборудования, относящихся к критической
информационной инфраструктуре Российской Федерации, либо правил
доступа к указанной информации, информационным системам,
информационно-телекоммуникационным сетям и их оконечному
оборудованию, если оно повлекло причинение вреда критической
информационной инфраструктуре Российской Федерации или создало
угрозу его наступления,
Что все так взволновались? Статья и сейчас например светит тому, кто даже выложит видео-ролик о том, как написать вирус и выложит исходники, до 4х лет лишения. Но на практике статья не используется, статья 273.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
ФСБ внесла в Госдуму законопроект об уголовной ответственности за кибератаки