«Белых хакеров» подводят под регулирование
Госдума и ИБ-отрасль ищут методы легализации их работы
В Госдуме началось обсуждение законопроекта, направленного на развитие работы государства и бизнеса со специалистами по кибербезопасности в области тестирования информсистем — так называемых белых хакеров. Инициатива направлена на легализацию самого проведения подобных тестирований для компаний. Но в силу новизны самой темы в законодательстве и только начавшегося роста спроса на услуги «белых хакеров» разногласия проект вызывает даже в IT-отрасли. Часть вопросов, однако, могут снять дополнительные инициативы, которые сейчас также обсуждаются в Госдуме.
Законопроект, предполагающий легализацию в России деятельности «белых хакеров», был внесен в Госдуму в декабре 2023 года группой депутатов во главе с членом комитета по информационной политике, информационным технологиям и связи Антоном Немкиным. Проект вносит изменения в ст. 1280 ч. 4 Гражданского кодекса РФ.
Согласно тексту проекта, «белым хакером» называют «лицо, выявившее недостатки безопасного использования компьютерной программы или базы данных», а компанию-клиента, заказывающую исследование,— «лицом, правомерно владеющим экземпляром программы». Так, авторы текста намерены закрепить в законодательстве как понятие тестировщика информсистем, так и права компаний на привлечение таких экспертов к проверке установленных на их инфраструктуре программных решений. И в целом узаконить мероприятия, которые помогают организовать тестирование,— программы Bug Bounty (поиск уязвимостей в информационных системах за вознаграждение).
Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей программы, следует из пояснительной записки к проекту. Также им предусмотрен запрет на передачу информации о выявленных уязвимостях третьим лицам, кроме владельцев ПО и конечных правообладателей. По задумке авторов, «белые хакеры», привлекаемые для тестирования, должны будут сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их обнаружения. Исключения составляют только случаи, при которых связаться с правообладателем физически невозможно (не удалось установить его местонахождение или место жительства).
Инициатива по развитию законодательной базы для работы «белых хакеров» и защиты их клиентов появилась еще летом 2022 года. Ее автором было Минцифры, активно развивающее программы Bug Bounty в госсекторе. Впрочем, отсутствие соответствующего регулирования не помешало министерству в феврале 2023 года запустить программу на портале «Госуслуги»: тестирование продлилось три месяца, а в ноябре министерство решило перезапустить программу на год, расширив на Единую биометрическую систему, Единую систему идентификации и аутентификации и другие (см. «Ъ» от 9 ноября 2023 года).
В целом же потребность бизнеса и компаний в привлечении тестировщиков возникла из-за резкого роста кибератак на российскую IT-инфраструктуру после начала конфликта на Украине. С февраля 2022 года эта динамика не снижается: по данным Positive Technologies, в четвертом квартале 2023 года количество инцидентов выросло на 8% по сравнению с предыдущим кварталом и на 19% относительно четвертого квартала 2022 года. Вредоносное ПО остается основным инструментом злоумышленников: оно использовалось в 73% успешных атак на организации. К такому ПО относятся шифровальщики, шпионское ПО и вредоносный софт для удаленного управления. Уязвимости в инфраструктуре компаний могут привести к успешной атаке и недопустимым для бизнеса событиям (остановке работы, утечке данных и т. д.), считают эксперты ИБ-компании.
Участники рынка кибербезопасности, которых напрямую касается обсуждаемое в Госдуме регулирование, в целом его поддерживают. «Белые хакеры» — добропорядочные участники рынка кибербезопасности, но на сегодняшний день их деятельность не имеет ясного нормативно-правового статуса, объясняет гендиректор Innostage Айдар Гузаиров: «С точки зрения закона, строго говоря, они не отличаются от киберпреступников, а такие методы, как пентест (тестирование на проникновение) и Bug Bounty, не имеют юридической базы». Это создает неопределенность и риск для «белых хакеров», вплоть до уголовной ответственности, предупреждает эксперт. Во многих странах, говорит он, законодательство в области кибербезопасности более строгое, чем в России, но при условии соблюдения правил «белые хакеры» защищены.
«Обсуждаемый закон, надеемся, устранит часть серых зон в законодательстве и введет в правовое поле отношения, возникающие при работе с такими "белыми хакерами"»,— соглашается директор департамента противодействия киберугрозам «Информзащиты» Егор Зайцев. Это, по его мнению, позволит компаниям шире привлекать таких специалистов, а специалистам — чувствовать себя более защищенными и работать эффективнее.
Нужно только доработать
Несмотря на позитивный отклик со стороны отрасли, многие ее представители видят в законопроекте неточности и ряд важных, но упущенных вопросов, решить которые нужно до его принятия. Например, говорят в «Информзащите», границ безопасного тестирования нет. «Представьте себе, что в ходе тестирования произойдет отказ в обслуживании или развитие атаки во внутреннюю инфраструктуру заказчика, особенно если это делает начинающий исследователь безопасности»,— объясняет Егор Зайцев. Это решается также грамотно проработанной политикой Bug Bounty, например договором публичной оферты, опубликованным на сайте вендора или самой платформы (если этот процесс отдан на аутсорс), считает господин Зайцев.
«Белые хакеры» — явление совершенно новое для общества, и поэтому важным шагом при работе с законопроектом должно быть изучение и понимание со стороны законодателей деталей и особенностей работы специалистов, считает консультант по кибербезопасности компании F.A.C.C.T. Сергей Золотухин. Например, чем отличаются и как устроены внутри команды исследователей уязвимостей и пентестеров, как они действуют, с какими рисками сталкиваются в своей работе и т. д. Но если это будет учтено, закон действительно поможет решить важные проблемы безопасности, считает он.
Однако, собеседник «Ъ» на рынке кибербезопасности, знакомый с ходом разработки законопроекта, рассказал, что в его написании участвовали исследователи из ряда крупных компаний на рынке ИБ, в том числе те, у которых есть экспертиза по Bug Bounty. При этом он напоминает, что привлечь всех участников рынка к разработке инициативы невозможно.
Требования решили разделить
Замечаниям участников рынка отвечает второй законопроект, который сейчас только готовится к внесению в Госдуму. Над ним также работает комитет Госдумы по информполитике, IT и связи. Он уточняет, на каких основаниях компании и госорганы будут вправе привлекать «белых хакеров» и использовать платформы Bug Bounty для тестирования. Один из вариантов — как раз размещение публичной оферты на ресурсах заинтересованной в тестировании компании. Главное предлагаемое изменение — это возможность правительства самостоятельно определять время и порядок тестирования госинформсистем и систем субъектов критической информационной инфраструктуры (КИИ), однако только по согласованию с ФСБ (см. «Ъ» от 2 апреля).
«Одной из главных задач инициативы является именно введение Bug Bounty в правовое поле»,— продолжает собеседник «Ъ». Но законопроект не обязывает всех проводить Bug Bounty, он также не вводит каких-либо ограничений по площадкам, на базе которых можно проводить Bug Bounty. «Законопроект предлагает установить правила проведения тестирований, но только для госорганов и значимых объектов КИИ»,— объясняет собеседник «Ъ».
Однако деятельность тестировщиков в целом и «белых хакеров» сейчас регулируется ст. 272 и 273 Уголовного кодекса: по ним к ответственности можно привлечь любого специалиста, действия которого повлекли изменение компьютерной информации, отмечает главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов. «Декриминализация деятельности таких специалистов может сильно повлиять на успешность привлечения хакеров к работе на государство»,— считает эксперт.
Депутаты Госдумы также работают над поправками к Уголовному кодексу, об этом «Ъ» сообщил Антон Немкин: «Уверен, когда наши поправки к законодательству вступят в силу, популярность “белых хакеров” возрастет кратно среди российских компаний, а сами они будут оперативнее совершенствовать свои методы работы».