Силовики выступили против легализации "белых" хакеров

Силовики выступили против легализации "белых" хакеров: они опасаются, что это помешает наказывать реальных киберпреступников. Сами этичные хакеры не готовы работать из-за риска уголовного преследования

Генпрокуратура, МВД и Следственный комитет выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта "белыми" хакерами по заданию заказчика. Об этом сообщили представители этих ведомств на обсуждении соответствующих поправок в Госдуме во вторник, 28 ноября (РБК ознакомился с аудиозаписью совещания, ее подлинность подтвердили два участника мероприятия).

Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации деятельности "белых" хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие "bug bounty" — поиск уязвимостей в ПО за вознаграждение.

В феврале 2023-го глава комитета Госдумы по информполитике Александр Хинштейн заявил, что "белые" хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности и что такой вопрос планируется проработать. Но в марте "Ведомости" со ссылкой на источник писали, что движение законопроекта осложнилось из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Сам пакет законопроектов до сих пор не внесен в Госдуму. РБК ознакомился с рабочей версией документов (их подлинность подтвердил собеседник, близкий к авторам поправок), она предлагает внести поправки в закон "Об информации, информационных технологиях и защите информации", Гражданский и Уголовный кодексы. Помимо легализации создания и использования вредоносного софта "белыми" хакерами по заданию заказчика, предлагается дать "белым" хакерам возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных "дырах" правообладателю софта. Кроме того, законопроект прадлагает предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей. При этом правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty).

За и против

Присутствовавший на обсуждении поправок 28 ноября начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры России Алексей Алборов заявил, что уголовное законодательство действует только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. "Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений", — пояснил Алборов.

Константин Комарды, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета, настаивает, что несмотря на законодательную возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает. "Если человек заключает договор, или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления", — пояснил Комарды.

По его словам, главный фактор для привлечения к ответственности — это наличие вины. Человек должен совершать преступление осознанно, для причинения негативных последствий. Только в этом случае образуется состав преступления, заверил Комарды. "Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними", — заявил он. Позицию Генпрокуратуры и Следственного комитета поддержал представитель МВД.

Один из участников совещания отметил, что, если поправки будут приняты, хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование инфорсистемы, чтобы доказать свою невиновность, и доказать обратное будет достаточно сложно.

Минцифры, по словам замдиректора департамента обеспечения кибербезопасности этого министерства Айсалы Бадягиной, поддерживает законопроект. В мае в Минцифры заявляли, что в ходе программы по поиску уязвимостей на портале "Госуслуги" было обнаружено 34 уязвимости, большинство из которых имели средний и низкий уровень критичности.

По словам директора по продуктовому развитию "Солар секьюрити" Владимира Бенгина, также присутствовавшего на совещании, более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. "Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены, и "белые" хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию", — отметил Бенгин.

Законопроект поддерживают и сами "белые" хакеры. На заседании в Центре стратегических разработок (ЦСР), которое состоялось 12 ноября (корреспондент РБК присутствовал на мероприятии) "белый" хакер Марсель Дандамаев говорил, что основная проблема сейчас заключается в том, что после обнаружения уязвимостей о ней сложно сообщить владельцу софта или системы: и государственные, и частные организации неохотно идут на контакт в "белыми" хакерами.

Кроме того, зачастую компании не реагируют должным образом на сообщения об уязвимостях, обнаруженных "белыми" хакерами. Только часть организаций полностью устраняет уязвимости после получения информации о них, в то время как остальные живут с обнаруженными уязвимостями до наступления инцидента. По мнению Дандамаева, в России необходимо создать платформу, которая могла бы упростить взаимодействие "белых" хакеров с компаниями. Такая платформа должна проводить верификацию хакеров, определять их надежность и предоставлять возможность размещать сообщения об уязвимостях. Получив уведомления, компании должны связываться с хакерами "для уточнения деталей или благодарности".

По словам депутата Антона Немкина — одного из авторов поправок, документ продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Он рассчитывает, что законопроект удастся доработать, но оговаривается, что на это уйдет не менее года. Депутат также считает, что для исключения возможных рисков необходимо обязать "белых" хакеров регистрироваться перед проведением тестирования и оставлять сообщение о своих намерениях, предоставлять свой IP-адрес.