«Белых хакеров» записали в черный список
Борьба с мошенниками может затронуть специалистов по кибербезопасности
Компании в области кибербезопасности опасаются, что новый правительственный пакет антифрод-мер может серьезно осложнить работу их специалистов. Дело в том, что одна из мер предполагает запрет на распространение информации о методах проведения кибератак наравне с экстремистским контентом. ИБ-компании видят в этом прямое ограничение деятельности «белых хакеров» — специалистов по поиску уязвимостей в системах за вознаграждение. Минцифры настаивает, что мера направлена исключительно против киберпреступников.
Фото: Александр Миридонов, Коммерсантъ
Фото: Александр Миридонов, Коммерсантъ
Компании в области кибербезопасности и специалисты по тестированию IT-систем обеспокоены новыми мерами борьбы с мошенниками, опубликованными 26 августа Минцифры на портале regulation.gov. Помимо борьбы с телефонным фродом, документ предполагает запрет на распространение информации о методах совершения кибератак, а именно «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ» или позволяющей получить доступ к софту, предназначенному для несанкционированного уничтожения или блокирования программ. Поправку предлагают внести в ст. 15.3. «Порядок ограничения доступа к информации, распространяемой с нарушением закона» ФЗ «Об информации, информтехнологиях и о защите информации». Соответствующей статьей уже запрещено в том числе распространение «ложных сообщений об актах терроризма» или содержащих «призывы к массовым беспорядкам».
Как рассказали “Ъ” в ИБ-вендоре Positive Technologies, такое ограничение может сильно ограничить деятельность специалистов по кибербезопасности.
«Запретить специалистам доступ к такой информации — все равно что запретить токсикологам доступ к описанию поражающих факторов отравляющих веществ»,— говорит управляющий директор по работе с госорганами Positive Technologies Игорь Алексеев. «Работа "белых хакеров" и раньше балансировала на тонкой грани,— отмечает директор центра противодействия мошенничеству компании "Информзащита" Павел Коваленко,— но существовало негласное понимание: если работаешь в рамках Bug Bounty (программа по поиску уязвимостей в системах или продуктах компании за вознаграждение.— “Ъ”) или по договору, проблем не будет». Однако с новыми поправками появятся инструмент блокировки или удаления профильной информации, а значит, и дополнительные риски для исследователей ИБ.
«Указанная формулировка вновь создает неопределенность для работы "белых хакеров"»,— соглашается бизнес-консультант Positive Technologies Алексей Лукацкий. Сейчас законодатели обсуждают новую редакцию законопроекта о "белых хакерах" с учетом всех прозвучавших предложений со стороны и регуляторов, и бизнеса, и экспертного сообщества (cм. “Ъ” от 16 июля).
Второй пакет антифрод-мер, разработанный правительством, предполагает около 20 инициатив, в частности передачу записей разговоров телефонных звонков, в которых будут «признаки совершения противоправных действий», в единую систему, сбор подозрительных номеров и ограничение на количество банковских карт до 10 штук на гражданина (см. “Ъ” от 27 августа).
Юристы видят в поправках риски для отрасли. «Bug Bounty находится в группе риска, эта сфера сейчас имеет большой потенциал развития, и такой законодательный аспект точно не в ее пользу»,— отмечает гендиректор ЮК Enterprise Legal Solutions Анна Барабаш. По ее словам, государство, с одной стороны, признает потребность в специалистах и в введении соответствующих определений в законы, исключающих двойное толкование, но предлагаемые меры могут породить правовую неопределенность.
В Минцифры объясняют, что бесконтрольное распространение информации об атаках «несет риски кибербезопасности, может быть использовано для компьютерных атак на важные системы государства и бизнеса». Ограничением такой информации в целом занимаются Роскомнадзор и Генпрокуратура. В аппарате вице-премьера Дмитрия Григоренко добавляют, что инициатива создаст правовой барьер, что затруднит деятельность киберпреступников и снизит количество успешных атак. Во-вторых, она позволит правоохранителям эффективно блокировать каналы распространения вредоносных программ, минимизируя риски для граждан. Позднее в Минцифры “Ъ” уточнили, что «запрет направлен не на деятельность "белых хакеров", а именно на распространение информации о способах кибератак».