Развитие IT-технологий приводит к очевидному росту различных киберпреступлений, осуществляемых посредством взлома этих самых IT-технологий. Чтобы защищаться от таких посягательств, владельцы программ, сервисов, крупных IT-систем вынуждены самостоятельно заказывать такие взломы у сторонних лиц с целью выявления уязвимостей и их устранения. Такой процесс называется «пентестом», и помимо технической составляющей здесь присутствует очень много юридических нюансов, потому что взламывать – незаконно (сюрприз, да?). Давайте разбираться.
Правовая природа пентеста 📖
Для начала давайте сразу закрепим определение и сущность пентестов. Пентесты представляют собой оценку безопасности компьютерных систем или сетей путём моделирования атаки злоумышленника. То есть, к примеру, у Вас есть онлайн-магазин. Вы заказываете у меня услуги пентеста, я моделирую взлом Вашего онлайн-магазина и по итогам предоставляю отчет, где подробно раскрываю, какие уязвимости были выявлены.
Специального понятия «пентест» или «договор на пентест» в отечественном законодательстве нет, однако ближе всего данный процесс к модели договора возмездного оказания услуг (гл. 39 ГК РФ). Можно было бы также рассмотреть и нормы о подряде (гл. 37 ГК РФ), но для подряда нужен какой-то конкретный результат работ, а отчет об уязвимостях, на мой взгляд, не очень сюда подходит, так как больше просто описывает сами услуги, и ценность именно в услугах, а отчет представляет собой лишь их отражение.
Соответственно, я бы преимущественно ставил на квалификацию именно в качестве услуг, потому что у нас и так, как правило, многие очевидные подряды переводят в услуги, хотя это совершенно не так (например, разработка ПО). Теперь, когда с квалификацией решили, предлагаю перейти к рискам.
Легальные проблемы пентестов 👨⚖️
Несмотря на то, что стороны договариваются о проведении взлома и поиске уязвимостей, всегда присутствует риск недобросовестности или недопонимания. Пока готовил данную статью, то наткнулся на любопытный кейс (источник).
Суть: компания Coalfire делала пентест по заказу одного американского суда. Пентестеры решили проникнуть в здание суда, чтобы оценить физическую защищенность информационной системы, и … их арестовали и обвинили во взломе.
Не знаю, чем закончилась эта история, но можно представить, что если у аналогичных пентестеров в РФ не будет соответствующих легальных документов, то им может грозить ответственность и по ст. 272 УК РФ, и по ст. 274 УК РФ. В общем, риски есть.
А для заказчиков плохое юридическое оформление пентестов может повлечь риск злоупотреблений со стороны самих пентестеров. Условно, Вы заказали тестирование сервера А, а Вам взяли и взломали сервер Б. И если это никак не оговорено в документах, то начнутся очередные долгие разбирательства по вопросу «кто прав, а кто виноват?».
И чтобы такие ситуации не повторялись в Вашем случае и не возымел плохой исход, нужно корректно с юридической точки зрения оформлять услуги по пентесту.
Что следует учесть в договоре ‼️
Для начала скажу очевидную вещь, которая, к сожалению, всё ещё не стала очевидной для всех – договор заключать обязательно. Я выделю ключевые нюансы, которые следует раскрывать в договоре на пентесты.
Состав услуг.
По факту это предмет договора, и от него зависит очень многое. Иногда я видел, что стороны ограничиваются обычной фразой «анализ защищенности систем Заказчика» и всё. Но на самом деле ограничиваться этим нельзя.
Точнее, эту фразу можно поместить в самое начало договора, а конкретный состав услуг указать либо ниже, либо и вовсе вынести в отдельное приложение – техническое задание, спецификацию (так даже лучше).
В составе услуг я рекомендую отразить следующие моменты:
· что именно тестируется: название, домен, IP-адреса, серверы и т.д.
· какие методы допускаются (например, white box, black box, social engineering);
· какие действия запрещены. Это очень важно оговорить на берегу, чтобы не было ситуаций, как в примере, который я описывал выше, когда пентестеры начали взламывать физический архив, и их арестовали с последующим обвинением.
Согласие владельца информационной системы
Вот тут очень важно прописать в договоре (и особенно для исполнителя) гарантию того, что владелец информационной системы даёт своё согласие на проведение пентеста, и что более важно – нужно прямо указать, что заказчик по договору является владельцем такой системы. В ином случае есть риск того, что заказчик по договору с Вами – это на самом деле какой-нибудь подрядчик, а первоначальный заказчик выдвигал совершенно другие условия, и когда Вы начнете тестировать его ресурсы, он расценит это в качестве обычного незаконного взлома.
Я рекомендую в таких ситуациях брать отдельное письменное согласие от первоначального заказчика – владельца тестируемой системы о том, что он даёт согласие Вам (именно Вам! с указанием реквизитом) на проведение пентеста в соответствии с условиями соответствующего договора (и дать на него отсылку).
Уведомление о начале оказания услуг
Такое добавляют далеко не всегда, но это такое операционное удобство для обеих сторон. Представьте, Вы заключаете договор, долго его согласовываете, потом долго подписываете. Не ясно, когда начнется сам пентест. Возможно, в этот день заказчику будет не удобно. Вот поэтому лучше всего сделать процедуру, когда заказчик направляет исполнителю уведомление о готовности к пентесту, а исполнитель в течение, например, 2-х дней приступает к услугам.
Конфиденциальность
С учетом специфики пентестов я думаю, что тут и нечего объяснять, что режим конфиденциальности информации очень важен. Причем вопреки расхожему мнению это касается не только исполнителей, но и заказчиков, потому что они могут получать информацию о методах и личностях пентестеров, что часто является не самыми публичными данными.
В идеале следовало бы заключать отдельное Соглашение о конфиденциальности (NDA), но если нет такой возможности, то можно включить соответствующие условия в сам услуговый договор (состав конфиденциальной информации, формы передачи, срок хранения, ответственность, ответственные лица).
Ответственность
Я не буду говорить о стандартных неустойках за просрочки и т.п., потому что здесь нет специфики именно пентестов. Сама специфика выражается в том, чтобы подчеркнуть, за что не несет / несет ответственность исполнитель. Например, можно ограничить ответственность исполнителя за непреднамеренные перебои, сбои, которые возникли в результате оказания услуг.
Отдельную ответственность можно предусмотреть за использование методов, прямо не предусмотренных договором. Все эти моменты важно проговорить на берегу, однако результаты таких обсуждений нужно фиксировать в договоре.
Понятно, что есть такие важные разделы, как оплата, гарантии, обстоятельства непреодолимой силы и так далее, но в них нет каких-то сильных уникальных особенностей по сравнению с другими договорами. Я же постарался выделить нюансы именно с учетом специфики пентестов.
Вывод 🔚
А вывод заключается в том, что хороший договор – гарантия комфортного сотрудничества, причем для обеих сторон. Старайтесь максимально подробно прописывать все условия, потому что «белые пятна» договора могут сыграть не на руку в дальнейшем.
🔥 Если Вам интересно больше полезных юридических лайфхаков в сфере бизнеса и IT, то подписывайтесь на мой Телеграм-канал 🔥 Там я делюсь многими крутыми наблюдениями и советами по тому, как можно защитить свою интеллектуальную собственность, общаюсь с IT-предпринимателями, раздаю бесплатные материалы и многое другое.