Комментарии 22
Интересная логика:
"чтобы легализовать белых хакеров, Минцифры придётся вносить изменения в несколько статей УК и прописывать там, что действия [белых] хакеров не являются преступлением "
но из этого таинственным образом следует, что в этом случае
"самим белым хакерам придётся работать в условии высочайших рисков привлечения к уголовной ответственности"
PS. А почему бы не перевести данные статьи УК в разряд "частного обвинения", добавив их к перечислению в п.2 статьи 20 УПК РФ ?
Кто-то сомневался, что будет иначе? Так, воздух погоняли, «выразили озабоченность», но ничего меняться не будет, во всяком случае в адекватную сторону.
обязать «белых» хакеров сообщать о выявленных «дырах» в ПО правообладателю софта
предоставить правительству право установить требования к выявлению уязвимостей
Это вообще клиника в развитии.
Не очень понятно, что здесь легализовывать.
Сама по себе деятельность т. н. "белых хакеров" (ну и термин!) не более незаконна, чем, например, деятельность слесарей по вскрытию замков. Конечно, должен быть договор, документы о том, что ты имеешь право заказывать такие услуги, но сами по себе они не преступны. Это буквально то же самое.
разрешить создание и использование вредоносного софта «белыми» хакерами по заданию заказчика
А это и сейчас не запрещено. Согласно ст. 273 УК РФ, вредоносное ПО предназначено для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, то есть то, что создаётся для действий в рамках договора с заказчиком, таковым очевидно не является.
позволить «белым» хакерам изучать и тестировать программное обеспечение (ПО) для выявления уязвимостей и их исправления
Изучать и тестировать что-либо и сейчас не запрещено. Если, конечно, тестировать не на людях. Ст. 1280 ГК РФ прямо разрешает изучать, испытывать и исследовать работу программ, а при соблюдении пары тривиальных условий - ещё и декомпилировать её.
обязать «белых» хакеров сообщать о выявленных «дырах» в ПО правообладателю софта
Для этого нужно юридически значимое определение белого хакера и его положения при исполнении, аналогично врачам и милиционерам. Если этого не сделать (т. е. обязать сообщать о любых выявленных уязвимостях в любое время), то такой закон фактически будет распространяться на всех, т. к. исходя из 1280 ГК РФ изучать ПО может любой законный обладатель копии программы.
дать возможность обладателям информации и операторам информационных систем привлекать сторонних специалистов для выявления уязвимостей
А это и сейчас не запрещено.
предоставить правительству право установить требования к выявлению уязвимостей, сейчас их определяет заказчик поиска уязвимостей
То ли попытка дать властям ещё больше полномочий, то ли ещё одно принципиально неисполнимое требование закона. Если заказчику будут нужны другие требования, он просто оформит это как, скажем, изучение ранее неизвестных функциональных возможностей, а не как поиск уязвимостей.
Предполагаю, что в итоге для проведения пентеста и прочих развлечений в итоге надо будет каждый раз подписывать соглашение/договор на проведение данных работ, создавать юрлицо наподобие ЧОа с ведением отчётности. Или вообще переведут это в госсектор при отделе К, как вневедомственная охрана от росгвардии
А на каком основании вы предполагаете пентест сейчас? Деятельность частных лиц по собственной инициативе не более законна, чем вскрытие замка частным лицом по собственной инициативе. И так нужен договор и некие правовые отношения.
Из вашей аналогии человек может сообщить о лёгком доступе к открытой форточке или залезть в неё и оставить записку, мол тут у вас открыто было я и залез. Но опять же воровство данных мало похоже на воровство вещей, которое легко заметить по их отсутствию, а с другой стороны как качественно полноценно провести проверку, если проверяемые подготовятся и могут исказить результаты. И посему нет определения их правового статуса. Опять же большой процент граждан с удовольствием ищет любой способ как поиметь систему, система ищет способы максимально поиметь всех и этих хитрых в первую очередь.
Так ты путаешь пентестеров, которые работают по договору и так называемых "белых хакеров", которые хотят либо баунти от владельца, либо продать уязвимость на сторону.
вредоносное ПО предназначено для несанкционированного уничтожения, блокирования, модификации, копирования
Белый хакер по заданию заказчика создал эксплоит, который демонстрирует уязвимость, приводящую к DoS (ядро системы падает). Вследствие упущения (случайного или умышленного) в описании работ заказчиком, такое последствие, как повреждение информации на НЖМД и/или в оперативной памяти вследствие падения ядра операционной системы не было оговорено, как предусмотренное заказом последствие действий исполнителя. Повреждение данных случилось. Хакер едет в СИЗО и затем в тюрьму. Расскажи мне, какая часть озвученной 273 УК РФ защищает от такого сценария? Только, пожалуйста, без вот этих вот "надо было внимательно читать, что подписываешь, внимательно соотносить, что делаешь, с вероятными последствиями" и так далее. Конкретный сценарий, конкретная статья.
Руководитель отдела по расследованию киберпреступлений и преступлений в
сфере высоких технологий управления по расследованию отдельных видов
преступлений ГСУ СК Константин Комарды сказал, что несмотря на
возможность привлечь к уголовной ответственности человека, который
тестирует чью-либо информсистему на уязвимости, на практике этого никто
не делает.
У меня с этого пукан сгорел просто. Вместо того, чтобы четко прописать в законе что считается преступлением, а что нет, они умышленно оставляют максимально общие формулировки для того, чтобы человека всегда можно было привлечь к ответственности если такая необходимость возникнет.
Провел пентест или на ББ нашел уязвимости - о, ты вроде толковый парень, теперь выбирай: Родине служить или в Магадане лес валить. Я, конечно, гиперболизирую немного, но что помешает так сделать?
Ничего, в этом вся суть, видимо. У нас часть законов содержит в себе такие же максимально размытые формулировки, которые не могут однозначно интерпретировать даже юристы.
Так вроде были уже такие случаи, когда после конкурсов по поиску уязвимостей ща деньги в адрес хакеров сыпались угрозы уголовной ответственностью вместо вознаграждения.
Потому как сами чернее некуда...
Вот поэтому, я и не стал сообщать об "уязвимости" никому, даже владельцам ресурса, причем ресурс под управлением ФГУП (ну, если я не ошибаюсь...).
И нет, я сам не стал использовать найденное, оно мне не нужно, был лишь спортивный интерес... Но понимая то, что за сообщение об этой "дырке" может светить статья -- решил забить...
И да, никаких посторонних средств, кроме браузера не использовалось)
Молодцы. Вот раньше, если хакеру удалось обнаружить уязвимость в сервисе крупной компании, он мог всё же предпочесть получить за неё bounty, а не рисковать, пользуясь ею самостоятельно. А потом полученные ценности пришлось бы как-то отмывать/переводить в деньги, что замороченно
Но благодаря законодательству пентестер теперь избавлен от этого тяжёлого морального выбора! Ведь теперь это выбор между "скорее сесть" и "может быть, сесть". Ну не замечательно ли?
Всё очень просто: если государство хочет иметь защищённую инфраструктуру — её нужно тестировать. Если оно не хочет легализовать «белых хакеров» — никто (в здравом уме) не будет этим заниматься — с соответствующими последствиями для безопасности инраструктуры.
Мне кажется стоит сделать платформу вроде BugBounty с авторизацией через гос услуги (или на базе госуслуг) и обязать компании, который хранят персональные данные клиентов, выходить на эту платформу и закладывать на это бюджет.
Более того, не должно быть ограничений по поиску. Например, если хакер обнаружил уязвимость вне предложенных компанией, это все еще должно считаться выполненной работой, а не незаконной деятельностью (если, конечно, хакер случайно не дропнул БД :))
Ну и должен быть куратор (модератор), который мог бы разбирать спорные моменты, вроде случаев, когда 2 хакера нашли одну и ту же уязвимость или одна следует из другой. Арбитраж короче
СМИ: Генпрокуратура и СК выступили против легализации деятельности «белых» хакеров