27 марта 2023, 10:23
Силовики мешают Минцифры легализовать «белых хакеров», которые ищут уязвимости в ПО — «Ведомости»
ФСБ и ФСТЭК выступили против поправок в УК, которые легализуют деятельность «белых хакеров» — сообщают «Ведомости» со ссылкой на источники. Бизнес предлагает расширить список статей УК, для которых сделают исключение.
Законопроект разработали в Минцифры. Он внесёт поправки в статью о «Неправомерном доступе к компьютерной информации» (статья 272 УК РФ). «Белые» хакеры (они же «этичные») используют разные методы взлома для того, чтобы оценить уровень защищённости системы и помочь разработчикам устройств и программ сделать их более безопасными.
В ряде компаний даже действует система bug bounty: специалисты по кибербезопасности и просто программисты (иногда их называют «пентестерами») могут найти уязвимость и получить за это компенсацию. Для этого им нужно успешно провести взлом, оформить свои шаги в отчёт и отправить его фирме-разработчику.
Например, такая программа под названием «Security Bounty» есть у Apple. «Белым хакерам» нужно взломать устройство компании и отправить им отчёт с «подробным техническим описанием» произошедшего, алгоритмом и «доказательствами». За это они могут получить до миллиона долларов (некоторые уязвимости оценивают в 2 миллиона). Похожие программы есть и у российских компаний: в их число вошли Positive Technologies, «Синклит» и BI.ZONE.
Тем не менее, с легализацией «этичного хакинга» возникли сложности: против инициативы выступили силовики, в частности ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК). Во время совещания рабочей группы по законопроекту представители ведомств заявили, что не допустят либерализации законодательства о хакерах. Некоторые источники говорят, что вносить поправки в УК «никто не будет».
«Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая», — сказал он.
При этом, российский бизнес выступает за легализацию «белых хакеров». В Positive Technologies считают, что это даст возможность «активизировать» тех, кто хотел и мог бы участвовать в «bug bounty», но опасается преследования со стороны силового аппарата. При этом, там говорят, что некоторые хакеры помогают несмотря на «незаконность» такого взлома: за 9 месяцев действия программы специалисты получили более 15 миллионов рублей.
В «Синклите» предложили внести поправки сразу в две статьи УК: о «Неправомерном доступе» и «Создании, использовании и распространении вредоносных компьютерных программ» (статья 273 УК). Там опасаются, что хакеры всё равно не захотят использовать легальные методы работы, если от них будут требовать раскрыть свою личность.
При этом, юристы считают, что даже по действующему законодательству считать «белый» взлом незаконным нельзя. Компании сами предлагают IT-специалистам сделать это, предоставляют свои сети и зачастую платят за успешные случаи, а значит доступ нельзя считать «неправомерным» и уголовной ответственности за такой вид работы быть не может.
Летом стало известно, что Минцифры хочет легализовать «белых» хакеров, которые ищут уязвимости. Уже тогда отмечалось, что многие «этичные хакеры» бояться работать с государством, так как им, вероятно, придётся взаимодействовать с ФСБ.
В ноябре белорусские хакеры взломали предприятие Роскомнадзора «ГРЧЦ», которое ищет «запрещённую информацию» в интернете. Позже журналисты выпустили ряд расследований на основе полученных материалов: например, о фабрике ботов и тайных досье на независимых журналистов.