Появление подобного законопроекта — безусловно, важное событие для сферы информационной безопасности (ИБ). Поправки в Гражданский кодекс разрешают внешним специалистам при поиске уязвимостей в информационных системах и IT-инфраструктурах изучать их компоненты (программное обеспечение) без получения специального разрешения от каждого правообладателя. Сейчас такие действия расцениваются как нарушение авторских прав, что препятствует проведению анализов защищенности (проверка, при которой моделируется реальная атака).
Однако документ не устраняет все законодательные пробелы. Необходимо урегулировать целый комплекс проблем, связанных с оценкой защищенности информационных ресурсов бизнеса и госорганов.
Почему это важно
В 2023 году число кибератак на российские информационные системы выросло на 65% по сравнению с предыдущим годом. Наиболее опасные инциденты связаны, как правило, с атаками международных хакерcких группировок. Они обнаруживают уязвимости в IT-системах и цифровых сервисах, прибегая к новейшим технологиям киберразведки. Их тактика постоянно меняется, а инструменты совершенствуются.
Чтобы противостоять таким угрозам, нужно привлекать специалистов сопоставимого уровня — этичных хакеров, которые могут составить конкуренцию киберпреступникам. Они используют схожую логику и новейшие инструменты при исследовании систем организации и могут первыми обнаружить уязвимость, которая могла бы привести к неблагоприятным последствиям в будущем.
Есть две модели работы с «белыми» хакерами — пентесты и программы баг-баунти (Вug Вounty, программы по поиску уязвимостей). Пентесты — проникновение в IT-инфраструктуру для действий по заранее оговоренным сценариям, имитирующим поведение злоумышленников. Такие проверки проводят специализированные компании или привлеченные специалисты, и этот процесс конфиденциальный.
А в программах баг-баунти участвует широкий круг независимых исследователей безопасности, готовых сообщать компании о найденных уязвимостях, получая за это заранее анонсированное вознаграждение. О таких программах объявляют открыто. Для проведения баг-баунти есть специальные платформы, в России их три: bugbounty.ru, а также платформы компаний Positive Technologies и BI.ZONE.
Сегодня программы баг-баунти проводят «Яндекс», Ozon, VK, «Тинькофф» и другие крупные компании. В прошлом году к движению за этичный хакинг присоединились государственные ведомства. На первом этапе программы, инициированной Минцифры, участники проверяли на прочность «Госуслуги» и Единую систему идентификации и аутентификации. В итоге удалось найти 37 уязвимостей, бюджет программы составил почти 2 млн рублей. В ноябре прошлого года стартовал второй этап — в тестировании участвуют уже девять государственных сервисов и систем.
Есть прецеденты и в регионах: Московская и Ленинградская области в декабре 2023 года первыми запустили программы по поиску уязвимостей в своих инфраструктурах.
Баг-баунти в цифрах
Даже для компаний, специализирующихся на кибербезопасности, подготовка IT-инфраструктуры для публикации на платформе баг-баунти — ресурсозатратный и растянутый во времени процесс, занимающий несколько месяцев. Между тем программы баг-баунти — распространенная за рубежом форма проверки и повышения устойчивости информационных систем. Объем мирового рынка специализированных платформ в 2023 году составил $1,19 млрд и, по прогнозам, будет расти средними темпами (CAGR) на 16,3% ежегодно до 2032 года.
Российский рынок баг-баунти находится в стадии становления и еще очень мал — его объем в 2023 году не превысил 200 млн рублей (около $2 млн). В то время, как потери 300 российских крупных компаний в прошлом году оценивались в среднем в 20 млн рублей в год.
Развитие рынка услуг этичного хакинга сегодня сдерживают высокая, по мнению бизнеса, стоимость программ, ресурсозатратная процедура подготовки, а также ограничения действующего законодательства. Вместе с тем рост ущерба от кибератак постепенно заставляет бизнес и госструктуры выделять бюджеты на превентивные меры защиты и набираться опыта в запуске подобных проектов. Чтобы привлечь к повышению киберустойчивости бизнеса «белых» хакеров, необходимо популяризовать баг-баунти и снизить риски участия в и пентестах, а это возможно только при изменении законодательства.
«Бреши» в законе
Сегодня деятельность «белых» хакеров не запрещена, но и никак не регламентирована. К ним применяют те же правовые нормы, что и для киберпреступников. Из-за этого возникают проблемы.
В действующем законодательстве нет определения для специалистов по кибербезопасности, которые по заказу организации тестируют защищенность ее инфраструктуры, ПО и систем для выявления уязвимостей. Соответственно, не закреплены в правовом поле такие формы тестирования, как пентест и баг-баунти, не описаны их процедуры и инструменты. Правовая оценка деятельности «белых» хакеров неоднозначна, а риски высоки, вплоть до лишения свободы.
Есть три статьи Уголовного кодекса, которые ограничивают работу любого пентестера, даже официально трудоустроенного в компании и выполняющего свою работу на основании договора. Статья 272 предусматривает наказание за неправомерный доступ к информации, в том числе из-за «корыстной заинтересованности» (до двух лет лишения свободы). Статья 273 посвящена созданию, использованию и распространению вредоносного софта. В перечне, к примеру, программы «для нейтрализации средств защиты компьютерной информации». Фактически она запрещает пентестерам иметь на рабочем месте инструментарий, позволяющий проводить атаки. Здесь максимальный срок лишения свободы — семь лет.
Статья 274 карает за нарушение правил эксплуатации средств хранения, обработки или передачи информации. Речь может идти о копировании защищенной информации. По этой статье предусмотрен срок лишения свободы до двух лет. Если специалист получил доступ к информации объекта критической информационной инфраструктуры (КИИ) и это повлекло за собой последствия — то можно получить до 10 лет тюрьмы.
При этом уголовная ответственность — не гипотетическая угроза. Есть единичные, но очень показательные примеры. Так, системного администратора крупной телеком-компании привлекли за то, что, сканируя инфраструктуру собственного объекта, он де-юре нарушил закон об объектах КИИ и попал в поле зрения ФСБ. Дело закончилось реальным сроком.
Взаимные опасения
Из-за рисков уголовного преследования хакерское сообщество не спешит выходить из тени. «Белые» хакеры небезосновательно опасаются того, что, проводя проверку на киберустойчивость, вместо поощрения получат наказание.
Сейчас в качестве «костыля», обеспечивающего некоторые гарантии для организаций и пентестеров, вместе с договором на оказание услуг подписывают письмо-согласие (авторизационное письмо). Оно дополняет юридические отношения между специалистом по тестированию и организацией. Без такого письма можно привлечь любого пентестера к ответственности по одной из перечисленных статей УК (или всем вместе).
Юридически засудить можно даже штатного сотрудника — специалиста по ИБ, который с целью защиты или расследования инцидента использовал нелегальное ПО. Таким образом, при проведении пентеста юристы организации должны максимально точно отразить права, обязанности и ответственность привлекаемых специалистов в договоре и дополнительных документах. И даже в этом случае риски остаются, причем для обеих сторон.
Так, компании опасаются, что пентестеры могут случайно или намеренно нанести им вред, и в текущем виде УК отчасти защищает их интересы. Теоретически смягчение статей УК и гарантии «белым» хакерам могут повлиять на вседозволенность киберпреступников, когда под предлогом благих намерений будут совершаться целенаправленные вредоносные действия. Грань между правомерными и неправомерными действиями в этом случае очень тонкая.
Однако итог взаимного недоверия неутешителен: чем больше ограничений и ответственности у «белых» хакеров, тем заметнее результаты их работы отличаются от менее этичных коллег по цеху. Сейчас очевидно, что, с одной стороны, бизнес нуждается в услугах пентестеров и заинтересован в росте их компетенций, с другой — не готов делить с ними сопутствующие риски.
Что делать?
В западных странах законодательство нацелено на легализацию «белых» хакеров, то есть идентификацию ноунеймов. Популяризируется и поощряется желание быть открытым, публичным. Многие белые хакеры размещают информацию о себе и своих профессиональных достижениях в соцсетях и на отраслевых ресурсах.
При этом в США и ЕС законодательство в сфере ИБ в целом жестче, и оснований для ареста хакеров больше. Но если у компании идет открытая программа баг-баунти и соглашение об этом размещено на официальном ресурсе, это считается публичной офертой по отношению ко всем объектам, на которые оно распространяется.
Если «белый» хакер действовал в рамках описанных правил, то ему ничего не грозит — он защищен. Все, что выходит за рамки официальной программы, может быть признано нарушением — но и в этом случае санкции в отношении участников программ баг-баунти, как правило, существенно мягче.
Например, регулятор будет в дальнейшем пристальнее наблюдать за провинившимся участником. В условиях открытости этого вполне достаточно — если подобная ошибка повторится и станет причиной реального ущерба, то наказание будет строже.
Так, в 2022 году Министерство юстиции США объявило, что в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях (CFAA) больше не будет преследовать «добросовестных» хакеров, чья деятельность направлена на повышение безопасности. Изменение политики тогда называли историческим событием.
При формировании нового регулирования в России стоит взять на вооружение мировую практику. Кроме этого, важно соблюдать баланс интересов всех участников и взвешивать все риски, обеспечить адекватный государственный надзор в этой сфере. Например, можно использовать для поиска уязвимостей разрешенные, промаркированные ресурсы.
Они могут храниться в гособлаке — таким образом получится предоставить «белым» хакерам контролируемую инфраструктуру для размещения рабочих инструментов.
Критически важно максимально подробно очертить контур дозволенного и прописать в законодательстве все нюансы работы этичных хакеров, в идеале — в формате нормативно-правовых актов. Нужно предусмотреть на законодательном уровне критерии определения «порядочности» и добросовестности хакера — это позволит допускать к тестированию IT-инфраструктуры только надежных участников рынка.
А если не делать?
Законодательное регулирование деятельности «белых» хакеров совершенно необходимо. Это позволит большему числу компаний и госорганов обращаться к ним для повышения киберустойчивости своей IT-инфраструктуры.
А сами пентестеры и багхантеры смогут не бояться правовой ответственности за свою работу при малейших погрешностях в документах. В противном случае компетенции «белых» хакеров будут отставать от уровня киберпреступников, а практика поиска уязвимостей уйдет в теневые зоны, в даркнет.
Сейчас, по нашим оценкам, 90% «белых» хакеров хотят работать открыто, если закон будет их защищать и поощрять. В отсутствие гарантий у специалистов может возникать дилемма: сдать уязвимость в компанию и надеяться на благодарность и компенсацию или не рисковать, уйти на теневую площадку и анонимно продать выявленную уязвимость.
Хотелось бы создать атмосферу, когда подобные вопросы не возникают, и именно для этой цели требуется изменение правового поля.
Мнение редакции может не совпадать с точкой зрения автора