Как стать автором
Обновить

СМИ: Генпрокуратура и СК выступили против легализации деятельности «белых» хакеров

Время на прочтение 5 мин
Количество просмотров 9.3K

В конце ноября 2023 года Генпрокуратура, МВД и Следственный комитет (СК) в рамках совещания в Госдуме, которое было посвящено поправкам в Уголовный кодекс (УК), выступили против легализации деятельности «белых» хакеров в РФ. Ведомства обсуждали внесение поправок в УК, которые выводят из-под его действия создание и использование вредоносного софта «белыми» хакерами по заданию заказчика.

Источники СМИ раскрыли текущую версию поправок. Изменения предполагается внести в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. В рамках корректировок законодательства предлагается:

  • разрешить создание и использование вредоносного софта «белыми» хакерами по заданию заказчика;

  • позволить «белым» хакерам изучать и тестировать программное обеспечение (ПО) для выявления уязвимостей и их исправления;

  • обязать «белых» хакеров сообщать о выявленных «дырах» в ПО правообладателю софта;

  • дать возможность обладателям информации и операторам информационных систем привлекать сторонних специалистов для выявления уязвимостей;

  • предоставить правительству право установить требования к выявлению уязвимостей, сейчас их определяет заказчик поиска уязвимостей.

Начальник отдела информбезопасности главного управления правовой статистики и информационных технологий Генпрокуратуры Алексей Алборов заявил на совещании в Госдуме, что уголовное законодательство применяется исключительно в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. В случае работы по заказу нет факта причинения ущерба и нарушения общественных отношений или воли правообладателя, добавил Алборов.

Руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений ГСУ СК Константин Комарды сказал, что несмотря на возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает. Комарды добавил, что в случае работы по договору или по заявке на тестирование от правообладателя информсистемы или сети программист «привлекается на легальных основаниях и создаёт программу под конкретный случай, его действия не образуют состав преступления». Человек должен совершать преступление осознанно, для причинения негативных последствий — в этом случае образуется состав преступления, отметил он. СК пришёл к выводу, что поправки в УК будут излишними, заявил руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий. Позицию Генпрокуратуры и СК поддержал участник обсуждения от МВД.

Один из участников совещания отметил, что, если поправки будут приняты, хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование, чтобы доказать свою невиновность, а доказать обратное будет сложно. Участвовавший в совещании директор по продуктовому развитию «Солар секьюрити» Владимир Бенгин рассказал, что более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Если поправки будут внесены, и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.

Один из авторов поправок, депутат Антон Немкин, рассказал, что их продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Парламентарий рассчитывает, что законопроект удастся доработать в срок до года. Немкин полагает, что для исключения рисков нужно обязать «белых» хакеров регистрироваться перед проведением тестирования, оставлять сообщение о своих намерениях и предоставлять свой IP-адрес.


В июне этого года Минцифры предложило всем желающим записаться на бесплатный учебный онлайн-курс «Профессия — белый хакер». Ведомство пояснило, что белые хакеры — это специалисты по IT-безопасности, которые стоят на защите интересов государства и бизнеса, а также участвуют в пентестах и Bug Bounty и получают за найденные уязвимости денежное вознаграждение на специальных площадках, например BI. ZОNE Bug Bounty и Standoff 365.


В конце марта 2023 года СМИ сообщили, что законопроект Минцифры о легализации работы белых хакеров отложен на неопределённое время из-за позиции ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Ведомства не собираются менять УК, смягчать или отменять наказание для злоумышленников за взлом информационных систем. В июле прошлого года Минцифры сообщило, что ведомство собирается ввести в законодательство понятие bug bounty и легализовать работу белых хакеров. Минцифры разрабатывает законопроект, по которому компьютерные эксперты могут получать вознаграждение за обнаруженные уязвимости, а не попадать под штрафы и ограничение свободы по статье 272 УК РФ («неправомерный доступ к компьютерной информации»).

Эксперты отрасли пояснили СМИ, что юридическое определение в правовом поле действий пентестов, которые проводят анализ систем на наличие уязвимостей, а также программ выплат вознаграждения хакерам за обнаружение уязвимостей по аналогии с зарубежными bug bounty позволит легализовать действия белых хакеров и даст возможность им использовать и дорабатывать специальные программные инструменты в рамках усиления механизмов кибербезопасности. Представители рынка считают, что сейчас многим компаниям проще обратиться в полицию и завести на хакера уголовное дело, а не платить ему за обнаруженные проблемы.

Законопроект от Минцифры не прошёл проверку в ФСБ и ФСТЭК. Ведомства считают, что принятие законопроекта в существующем виде приведёт к либерализации положений УК, что противоречит позиции госструктур по этой ситуации.

«Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая. А менять УК никто не будет», – пояснили СМИ профильные эксперты.

Представители ИБ-отрасли подтвердили, что сейчас действия пентестеров уязвимы с точки зрения уголовной ответственности, так как их могут квалифицировать как неправомерный доступ к информации (до семи лет колонии) или как создание, использование и распространение вредоносных компьютерных программ (также до семи лет тюремного заключения).

По мнению профильных юристов, сейчас в УК РФ есть целый ряд статей, под которые может подпадать деятельность белых хакеров. В их числе «неправомерный доступ к компьютерной информации», «создание, использование и распространение вредоносных компьютерных программ», «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации». По из словам, чтобы легализовать белых хакеров, Минцифры придётся вносить изменения в несколько статей УК и прописывать там, что действия хакеров не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции. "Но формально это всё равно будет преступное деяние, и в случае спорных ситуаций правоохранительные органы будут давать оценку, является конкретное действие социально значимым или нет", - считает вице-президент Гильдии российских адвокатов Евгений Корчаго.

Юристы уточнили СМИ, что законопроект Минцифры может внести дестабилизацию в правоприменительную практику в отношении киберпреступлений. «Преступники начнут оправдывать свои действия предлагаемыми нормами, а общество получит ситуацию неконтролируемого развития несанкционированного доступа к информации и её оборота. А самим белым хакерам придётся работать в условии высочайших рисков привлечения к уголовной ответственности, например в случае получения доступа к информации», – рассказал СМИ профильный юрист.


В конце марта 2022 года Минцифры в рамках оперативного штаба по обеспечению информационной безопасности предложило крупным российским компаниям начать поддержку белых хакеров.

В августе 2021 года ФСБ возбудила уголовное дело о попытке взлома сетевым инженером структуры «Ростеха». Бывший сотрудник техподдержки интернет-провайдера «Макснет Системы» подозревался спецслужбами во взломе компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Сетевой специалист рассказал, что он не занимался взломом, а наоборот пытался пресечь атаку извне на ресурсы клиентов, проверяя их роутеры на наличие уязвимостей. За то, что он не получил разрешения у клиента провайдера на сканирование его сетевого оборудования, инженеру грозит лишение свободы на срок от двух до пяти лет со штрафом в размере до 1 млн рублей.

Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
+7
Комментарии 22
Комментарии Комментарии 22

Другие новости

Истории

Работа

Ближайшие события

PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн
Weekend Offer в AliExpress
Дата 20 – 21 апреля
Время 10:00 – 20:00
Место
Онлайн