«Белые хакеры» остаются без поддержки
Почему силовые ведомства выступили против законопроекта Минцифры
Силовики выступили против законопроекта об этичных хакерах, речь о специалистах, которые за вознаграждение ищут уязвимости в компьютерных системах и передают сведения бизнесу для их исправления. Минцифры больше года пытается полноценно легализовать работу «белых хакеров». В ведомстве предлагают, чтобы в законе, в том числе и Уголовном кодексе, было прямо прописано: если человек искал уязвимости по договору с компанией, его нельзя наказать.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
Между тем, как пишет РБК, Генпрокуратура, МВД и Следственный комитет выступили против поправок. Они уверены, что достаточно действующих норм, а новые приведут к злоупотреблениям. В свою очередь, сторонники изменений полагают, что без них «белые хакеры» не смогут спокойно работать.
Впрочем, обе позиции звучат обоснованно, считает коммерческий директор компании «Код безопасности» Федор Дбар: «Сейчас в определенных случаях для таких специалистов может наступить уголовная ответственность. Это очень хороший дамоклов меч, висящий над "белым хакером".
Обычно при поиске уязвимостей награждается какое-то количество человек. Например, за первое место — один приз, за второе — чуть поменьше, за третье — вообще какой-нибудь символический подарок. И вот хакер, нашедший какое-то слабое место в системе и при этом пришедший четвертым, может быть не согласен с таким результатом. При этом в своих руках он имеет рычаг воздействия на нее.
И тут уже стоит вопрос о его порядочности, станет ли он использовать во вряд найденную уязвимость. Видимо, в поправках этот момент снимается, что напрягает силовиков.
Вместе с тем в некоторых случаях люди из мира IT достаточно ранимые. И некоторых талантливых специалистов может отпугивать наличие уголовной или какой-либо иной ответственности при поиске bug bounty. Те, кто эти поправки вносит, наверняка хотят эти факторы как-то смягчить или частично устранить, чтобы привлечь профессионалов к анализу уязвимостей».
«Ведомости» весной 2023 года сообщали, что у силовиков есть вопросы к законопроекту о «белых хакерах». Документ до сих пор не внесли в Госдуму. При этом Верховный суд разъяснял, что человека нельзя привлечь к ответственности, если у него не было намерения причинить ущерб.
Впрочем, эти формулировки звучат весьма расплывчато, заметил специалист по информационной безопасности Дмитрий Артимович: «Как скажет следствие, так и будет. Про все пленумы ВС и тому подобное забудется.
Приведу вам простой пример. При первом моем столкновении с ФСБ мне следователь практически открытым текстом говорил, что я должен ему деньги зарабатывать. То есть для них это просто некая лазейка.
Если эти положения не будут декриминализованы, то завести дело на хакера достаточно просто. Можно и просто надавить на человека, вызвать его в отделение и сказать, что он виновен во взломе системы.
И даже если хакер ответит, что занимался легальным тестированием, он услышит, что это статья».
Как пишет РБК, сейчас законопроект продолжают дорабатывать, и его авторы надеются, что его удастся принять. Правда, по оценкам законодателей, на это уйдет не меньше года.
С нами все ясно — Telegram-канал "Ъ FM".