МВД и Генпрокуратура выступили против легализации использования вредоносного ПО

       Силовики выступили против легализации ？белых？ хакеров: они опасаются, что это помешает наказывать реальных киберпреступников. Сами этичные хакеры не готовы открыто работать из-за риска уголовного преследования

       Фото: Rob Kim / Getty Images

       Генпрокуратура, МВД и Следственный комитет выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта ？белыми？ хакерами по заданию заказчика. Об этом сообщили представители этих ведомств на обсуждении соответствующих поправок в Госдуме во вторник, 28 ноября (РБК ознакомился с аудиозаписью совещания, ее подлинность подтвердили два участника мероприятия).

       Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации деятельности ？белых？ хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в ПО за вознаграждение.

       В феврале 2023-го глава комитета Госдумы по информполитике Александр Хинштейн заявил, что ？белые？ хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности и что такой вопрос планируется проработать. Но в марте ？Ведомости？ со ссылкой на источник писали, что движение законопроекта осложнилось из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК).

       Технологии и медиа

       ？Касперский？ назвал наиболее частые цели атак хакеров

       Сам пакет законопроектов до сих пор не внесен в Госдуму. РБК ознакомился с рабочей версией документов (их подлинность подтвердил собеседник, близкий к авторам поправок), они предлагают внести поправки в закон ？Об информации, информационных технологиях и защите информации？, Гражданский и Уголовный кодексы. Помимо легализации создания и использования вредоносного софта ？белыми？ хакерами по заданию заказчика, предлагается:

       дать ？белым？ хакерам возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных ？дырах？ правообладателю софта; предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей; правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty).

       За и против

       Присутствовавший на обсуждении поправок 28 ноября начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры России Алексей Алборов заявил, что уголовное законодательство действует только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. ？Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений？, — пояснил Алборов. Константин Комарды, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета, настаивает, что, несмотря на законодательную возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает. ？Если человек заключает договор или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления？, — пояснил Комарды.

       Политика

       Сайты выставки-форума ？Россия？ подверглись хакерской атаке

       По его словам, главный фактор для привлечения к ответственности — это наличие вины. Человек должен совершать преступление осознанно, для причинения негативных последствий. Только в этом случае образуется состав преступления, заверил Комарды. ？Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними？, — заявил он. Позицию Генпрокуратуры и Следственного комитета поддержал представитель МВД.

       Один из участников совещания отметил, что, если поправки будут приняты, хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование инфорсистемы, чтобы доказать свою невиновность, и доказать обратное будет достаточно сложно.

       Минцифры, по словам замдиректора департамента обеспечения кибербезопасности этого министерства Айсалу Бадягиной, поддерживает законопроект. В мае в Минцифры заявляли, что в ходе программы по поиску уязвимостей на портале ？Госуслуги？ было обнаружено 34 уязвимости, большинство из которых имели средний и низкий уровень критичности.

       По словам директора по продуктовому развитию группы ？Солар？ Владимира Бенгина, также присутствовавшего на совещании, более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. ？Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены и ？белые？ хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию？, — отметил Бенгин.

       Финансы

       Хакеры взломали сайт оператора платежной системы ？Мир？

       Законопроект поддерживают и сами ？белые？ хакеры. На заседании в Центре стратегических разработок (ЦСР), которое состоялось 12 ноября (корреспондент РБК присутствовал на мероприятии), ？белый？ хакер Марсель Дандамаев говорил, что основная проблема сейчас заключается в том, что после обнаружения уязвимостей о ней сложно сообщить владельцу софта или системы: и государственные, и частные организации неохотно идут на контакт с ？белыми？ хакерами.

       Кроме того, зачастую компании не реагируют должным образом на сообщения об уязвимостях, обнаруженных ？белыми？ хакерами. Только часть организаций полностью устраняет уязвимости после получения информации о них, в то время как остальные живут с обнаруженными уязвимостями до наступления инцидента. По мнению Дандамаева, в России необходимо создать платформу, которая могла бы упростить взаимодействие ？белых？ хакеров с компаниями. Такая платформа должна проводить верификацию хакеров, определять их надежность и предоставлять возможность размещать сообщения об уязвимостях. Получив уведомления, компании должны связываться с хакерами ？для уточнения деталей или благодарности？.

       По словам депутата Антона Немкина, одного из авторов поправок, документ продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Он рассчитывает, что законопроект удастся доработать, но оговаривается, что на это уйдет не менее года. Депутат также считает, что для исключения возможных рисков необходимо обязать ？белых？ хакеров регистрироваться перед проведением тестирования и оставлять сообщение о своих намерениях, предоставлять свой IP-адрес.