Добросовестное тестирование защищенности информационных систем предлагается вывести из-под уголовной ответственности

Добросовестную проверку безопасности информационных систем предлагают снять с уголовной ответственности. С такой законодательной инициативой выступил депутат от "Единой России", член комитета по информационным технологиям. Эксперты считают инициативу очень актуальной, отмечая необходимость ее тщательной разработки, чтобы регулирование не создавало новых неоправданных рисков для «белых хакеров.

Поправки сразу в три закона

Член комитета Госдумы по информационной политике Антон Немкин разработал пакет законопроектов, направленных на легализацию деятельности так называемых «белых хакеров» в РФ. Как сообщает ТАСС со ссылкой на текст документа, законодательные изменения направлены на устранение возможного риска привлечения к уголовной ответственности людей, проверяющих безопасность информационных систем.

«Мы подготовили пакет законодательных предложений, направленных на легализацию деятельности «белых хакеров». Предлагаются поправки в Уголовный кодекс Российской Федерации (УК), Гражданский кодекс Российской Федерации, а также в Федеральный закон «Об информации, информационных технологиях и о защите информации», — сообщил информагентству Антон Немкин.

«Несмотря на очевидную пользу, которую приносит работа хакеров в белой шляпе, они находятся в уязвимом положении с юридической точки зрения. Это очень странно, ведь работа по защите цифровой цепи должна носить проактивный характер, а не реагировать на события, которые уже произошло, добавил он.

Поправки в Уголовный кодекс Российской Федерации, вошедшие в пакет законодательных предложений, направлены на устранение риска привлечения к уголовной ответственности лиц, проверяющих безопасность информационных систем в соответствии с Законом об информации (N 149-ФЗ об информации), Информация) Технологии и защита информации.

А Гражданский кодекс предлагает предоставить людям, законно владеющим копией компьютерной программы, возможность изучить и протестировать ее на предмет выявления уязвимостей. В случае ее обнаружения такой тестер будет обязан сообщить об этом правообладателю указанной программы..

Третья инициатива дает владельцу информации, оператору информационных систем право принимать меры по выявлению их уязвимостей, в том числе с привлечением лиц, не являющихся сотрудниками компании.

39-летний депутат от партии "Единая Россия", член комитета по информационной политике, информационным технологиям и связи Антон Немкин знает тему законопроекта. По данным биографических данных ТАСС, он окончил Академию ФСБ РФ по специальности «Вычислительные машины, комплексы, системы и сети», а затем работал и занимался бизнесом в сфере информационных технологий (он также интересовался профессиональным автомобильная гонка). Он является членом Совета представителей Российской ассоциации криптоэкономики, искусственного интеллекта и блокчейна.,

Правовой парадокс и анахронизм — но важно не сделать хуже

получение несанкционированного доступа к информации или просто «взлом» системы — сложный и многоэтапный процесс, отмечает Артём Ильченко, главный инженер проекта DC Engineering. Главной угрозой, по его мнению, являются вовсе не программы, а люди, а основной метод хакера — получение информации обманным путем (это называется «социальная инженерия»). И хотя цели «белых» и «черных» хакеров диаметрально противоположны, методы их достижения одинаковы.

Внешне, поясняет эксперт, деятельность "белых хакеров" соответствует критериям квалификации некоторых преступлений, и сегодня достаточно заявления в полицию, чтобы официально осудить человека.

Конечно, этот правовой парадокс — анахронизм, возникший в то время, когда информационные технологии только развивались и зачастую казавшийся «игрушкой для очкариков». Теперь каждый новый продукт, каждая ИТ-инфраструктура каждой компании в идеале должна регулярно подвергаться тестам на проникновение, а «белые» хакеры должны иметь возможность безопасно работать в легальной среде. Поэтому такую ​​инициативу можно только приветствовать, говорит эксперт.

«Однако, как всегда, когда дело доходит до конкретных механизмов реализации, возможны проблемы. Хотя эта сфера не регулируется, никто на самом деле не знает, как привлечь хакера в «белой шляпе». С появлением конкретных правил и положений, если они "Что иногда случается, развивается стремительно, есть вероятность, что риск для надежного тестера будет только возрастать. Мы будем следить за изменениями и смотреть на правоприменительную практику", - говорит Артем Ильченко.

Сама инициатива по защите от сферы уголовного права лиц, которые проводят работы по тестированию системы, обеспечивая тем самым де-факто несанкционированный доступ к ней, заслуживает внимания и поддержки, считает руководитель экспертного центра уголовно-правовой политики и реализации правовых норм «Деловой России» Действия безопасны, - проректор по развитию и взаимодействию с органами государственной власти Государственного академического гуманитарного университета (ГАУГН) Екатерина Авдеева.

Это, по ее словам, устраняет юридическую неопределенность квалификации таких действий. А если, например, реализуется риск уничтожения, блокировки, изменения или копирования данных данных в ходе тестирования, то можно будет ссылаться на формальную и объективную законность действий, вызвавших эти нежелательные последствия.

Также будет учтено, что конечной целью людей, выполнявших работу по тестированию системы, был не несанкционированный доступ, а заданное тестирование. Не всегда, отмечает эксперт, правоприменительная практика развивается исходя из "духа" закона; например, иногда наблюдается сдвиг в сторону формального присвоения, поэтому важно, чтобы не оставалось места для широкого применения правила.

Законопроект еще не внесен, поэтому об исключениях из применения ст. 272 УК РФ, а также достаточно ли обоснована необходимость таких изменений в пояснительной записке, указывает Екатерина Авдеева. Но если эти условия будут выполнены, законопроект наконец-то отделит деятельность так называемых «белых хакеров» от злоумышленников.

С другой стороны, очень важно, считает она, чтобы подобная инициатива не стала лазейкой для тех, кто хочет прикрыться якобы законными действиями, одновременно фальсифицируя, например, соглашения с владельцем системы.

Эксперт также отмечает, что в постановлении Пленума Верховного Суда РФ от 15 декабря 2022 года N 37 "О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, в том числе "Интернет" указывает, что целью должна быть, например, потеря восстановления данных.

Обратите внимание: Европейский бу планшет: тестирование перед покупкой.

«Белые хакеры» работают на грани

Инициатива о внесении изменений в Уголовный кодекс и легализации «белых хакеров» начала обсуждаться еще в прошлом году, но затем законопроект был отложен. Сейчас к этому снова вернулись, и это правильно, — говорит Климент Кузьмин, управляющий директор студии разработки цифровых решений для бизнеса OASIS App и стартап-академии Products School. Специфика специалистов по кибербезопасности, поясняет он, заключается в том, что они в любой момент могут превратиться из героев в преступников. И чем выше профессионализм, тем суровее может быть наказание.

«Предположим, хакер проверяет общедоступный веб-сайт на наличие уязвимостей. Находит дыры в безопасности и подробно описывает их в отчете. Через некоторое время через эти «лазейки» сайт взламывают из-за границы. Кто будет первым подозреваемым? Естественно, кто бы ни проводил тестирование, хотя это мог быть кто угодно. Если специалист нашел лазейки и их не закрыли сразу, то же самое может сделать другой специалист, — говорит Кузьмин.

Пока не совсем ясно, как будет работать законопроект. Чтобы точно сказать, какие риски могут возникнуть и будут ли они оправданы, нужно дождаться окончательной версии законопроекта. Но сама инициатива абсолютно правильная и долгожданная, заключает Климент Кузьмин.

«Хакеры в белых шляпах» уже легализованы во многих странах, в том числе в США, напоминает генеральный директор и основатель Hopper IT Наталья Краснобаева. Это могут быть как независимые специалисты, так и сотрудники организаций информационной безопасности. Существуют специальные «биржи» для «белых хакеров» — платформы, объединяющие хакеров и компании, желающие проверить свою уязвимость.

Само явление существует в России уже несколько лет, говорит эксперт. По некоторым данным, их число исчисляется десятками тысяч человек. И здорово, что наконец решили ввести это понятие в правовое поле. Потому что каковы бы ни были благие намерения «белых хакеров», они сейчас работают на острие — с одной стороны, помогают разработчикам искать ошибки в их продуктах по их запросу, с другой стороны, фактически делают то же самое, как обычные хакеры - правонарушения и, де-юре, нарушение закона.

Выход «белых хакеров» из тени приведет к бурному развитию этого направления, уверена Наталья Краснобаева. В странах, где вознаграждение за обнаружение ошибок уже разрешено, белые разработчики пользуются спросом. Компании предлагают огромные вознаграждения за ошибки, обнаруженные в их системах, тем самым значительно повышая свою кибербезопасность. В связи с этим есть основания полагать, что легализация «белых хакеров» также приведет к значительному повышению информационной безопасности в России. Количество эффективных кибератак станет меньше, а экономический эффект за счет снижения потенциальных экономических потерь будет весьма заметен.

Больше интересных статей здесь: Технологии.

Источник статьи: Добросовестное тестирование защищенности информационных систем предлагается вывести из-под уголовной ответственности.