Отбелить хакера

Помогут ли поправки в ГК РФ легализовать работу исследователей уязвимостей

Госдума 16 октября приняла в первом чтении поправки в Гражданский кодекс РФ, которые должны урегулировать в России работу белых хакеров. Однако новая инициатива не учитывает исследования на уязвимости сайтов и мобильных приложений и легализует «домашний хакинг», полагают эксперты. О том, какое законодательство требуется для полноценной работы багхантеров, – в материале RSpectr.

ЗАМОТИВИРОВАТЬ НА РИСК

Одной из проблем работы белых хакеров является тонкая юридическая грань, когда деятельность белого хакера «во благо» может быть оценена с юридической точки зрения как основание для уголовного преследования, поделился с RSpectr директор по цифровой трансформации Innostage Руслан Сулейманов.

По его словам,

были прецеденты, когда этичные хакеры сообщали компаниям о наличии уязвимостей в продуктах, но вместо вознаграждения получали уголовные дела

Руслан Сулейманов, Innostage:

– Из-за такой неоднозначной позиции многие исследователи были вынуждены вообще не заявлять об обнаруженных уязвимостях, справедливо опасаясь юридических последствий. В конечном счете от этого страдал бизнес, который использовал подобный софт.

Инициаторы законопроекта предложили исключить возможность предъявления исков со стороны правообладателей на действия легальных пользователей по поиску уязвимостей в ПО. По мнению архитектора практики «Технологическая трансформация» компании «Рексофт Консалтинг» Александра Черного,

этого может быть недостаточно для вовлечения в такой поиск большого числа специалистов

Одним из основных стимулов работы белых хакеров является финансовая заинтересованность, подчеркнул он в беседе с RSpectr.

Александр Черный, «Рексофт Консалтинг»:

– Создание фонда или госпрограммы, позволяющей финансировать работу уже существующих платформ по поиску уязвимостей в разных видах ПО, позволило бы замотивировать белых хакеров на такой поиск.

Предложенный законопроект – хорошая инициатива только для тех, кто исследует прикладное ПО или операционные системы, прокомментировал RSpectr белый хакер Алексей Томилов. По его словам,

основная часть багхантеров исследует сайты, а это под новое регулирование не попадает

Не учитываются в этом документе и мобильные приложения, так как многие из них взаимодействуют с внешними серверами, которые исследователям неподконтрольны. Но именно в этих взаимодействиях и находятся основные опасные уязвимости.

Алексей Томилов, белый хакер:

– Если у законодателей была задача снизить количество утечек, то законопроект в предложенном виде – не решение. Утечек меньше не станет. Если этот шаг является первым в легализации этичных хакеров с целью эксперимента, то да, это полезно.

Директор по клиентской безопасности Selectel Денис Полянский уверен:

обновленный законопроект легализует, по сути, только «домашний хакинг»

То есть отдельных энтузиастов, которые приобрели ПО и исследуют его ради собственного интереса, отметил он в беседе с RSpectr.

Денис Полянский, Selectel:

– В то же время основной объем рынка составляют услуги по тестам на проникновение и коммерческий поиск уязвимостей. В текущем виде законопроект все еще оставляет в серой зоне тестирование облачных решений, а также сайтов и порталов заказчика, если они расположены не на собственной инфраструктуре.

УСТРАНИТЬ НЕДОСТАТКИ

Инициатива вполне логична и соответствует существующим правовым нормам, полагает ведущий юрист Staffcop Ольга Попова. Она пояснила RSpetr, что статья 1280 ГК РФ

уже предоставляет право пользователям изучать и исследовать ПО без согласия правообладателя и без выплаты дополнительного вознаграждения

Ольга Попова, Staffcop:

– Однако регулятору стоит учесть важный нюанс и запретить внесение изменений в исходный код программы даже в целях выявления уязвимостей. Это предотвратит несанкционированное вмешательство и защитит интеллектуальную собственность правообладателя.

Руководитель группы практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Алексей Куприянов обратил внимание RSpectr, что

текущая версия проекта закона не учитывает работу существующих платформ Bug Bounty

Такие площадки дают возможность исследователям искать различные уязвимости за материальное вознаграждение от производителей, отметил он.

Алексей Куприянов, «Инфосистемы Джет» :

– Законопроект разрешает передавать информацию об уязвимостях только разработчику или лицу, осуществляющему переработку данного ПО, но платформы Bug Bounty, которые отвечают за обработку информации об уязвимостях, поступающей от исследователей, а также в некоторых случаях за верификацию данных уязвимостей, под эту формулировку не подпадают.

В текущей версии законопроекта о белых хакерах

очень много скользких и противоречивых моментов, вероятно, его будут дорабатывать

сообщил RSpectr технический директор Weblock (входит в группу компаний «Гарда») Лука Сафонов.

Лука Сафонов, Weblock:

– Если третьему лицу нельзя разглашать, то кто тогда первые два лица? Пользователь и правообладатель или пользователь и иное привлеченное лицо? Если первое, то как иных привлекать для исследования?

Новые нормы вносят изменения пока только в ГК РФ, указал RSpectr эксперт по информационной безопасности «МойОфис» Дмитрий Костин. Дальше, по его мнению,

логично ввести уточнения и нормативное регулирование на уровне постановлений правительства РФ и ведомственных приказов, например, ФСТЭК

Дмитрий Костин, «МойОфис»:

– Также следует определить нормативными правовыми актами обязанности авторов или правообладателей программ для ЭВМ устранять недостатки и уязвимости программ, если они связаны с безопасностью их использования.

По его мнению, должны быть обязательно указаны

сроки устранения критичных недостатков и уязвимостей и предусмотрена ответственность авторов или правообладателей ПО

за их неустранение или игнорирование требований об их устранении, уверен эксперт.

Екатерина Лаштун

Изображение: Kandinsky