10:30 / 15 мая 2024
После шквала кибератак на объекты ИТ-инфраструктуры в России, выросла потребность в регулярном тестировании на проникновение (пентесте) и программах выявления уязвимостей (bug bounty). Однако вопрос юридической незащищенности багхантеров все еще остается нерешенным: по данным Ведомостей, чиновники отложили запущенный летом 2022 года процесс легализации «белых хакеров» из-за разногласий с силовыми структурами. Редакция IT Speaker узнала у экспертов, как работают «этичные хакеры» вне правового поля.
Спрос на специалистов по ИБ растет вместе с потребностью в максимальной защищенности компаний. После введения санкций отечественный рынок покинул ряд западных поставщиков ИБ-услуг. Весной РИА Новости сообщали, что заказов по поиску уязвимостей систем оказалось больше, чем специалистов. Поэтому чиновники стали активно развивать проекты по поддержке и обучению «белых» хакеров.
В феврале Минцифры запустило программу по поиску ошибок на Госуслугах за вознаграждение, и всего за три месяца участники нашли 34 уязвимости на портале. А на днях министерство предложило всем желающим записаться на бесплатный онлайн-курс по кибербезопасности, который позволяет освоить профессию с нуля.
Это не единственные инициативы ведомства: например, в прошлом году Минцифры приступило к проработке введения понятия bug bounty в правовое поле. Речь шла о законопроекте, который внесет изменения в статью 272 УК РФ «Неправомерный доступ к компьютерной информации», максимальное наказание по которой – до семи лет лишения свободы. Но тогда против поправок выступили ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю).
С одной стороны, белые хакеры стоят на защите интересов государства и бизнеса, предотвращая возможный ущерб от кибератак в организациях, с другой — находятся в условиях высоких рисков.
По словам директора по безопасности BI.ZONE Евгения Волошина, российский рынок bug bounty достаточно молод, но динамично развивается по нескольким причинам: растет количество утечек данных, число уязвимостей и злоумышленников. «Это связано с тем, что появляются новые программы, решения и виды ПО. Гарантировать безопасность систем только собственными силами компаниям-разработчикам очень сложно, поэтому они обращаются к внешним площадкам баг баунти», – считает эксперт.
С точки зрения гендиректора компании Pro Control Станислава Сидорова, несмотря на положительный эффект, который может принести работа багхантеров, в России они могут столкнуться с определенными рисками. На текущий момент в отечественном законодательстве нет нормативно-правового акта, который регулирует их деятельность и четко устанавливает различия между «белыми» и «черными» хакерами. Поэтому любые действия, связанные с несанкционированным проникновением в информационные системы, могут привести к уголовной ответственности. Однако, по словам ИТ-специалиста, хакеры «в белой шляпе» могут работать на законных основаниях по заказу компаний, получив их согласие.
Самой распространенной угрозой при работе «белых» хакеров является утечка конфиденциальных данных во время исследования на безопасность ИТ-инфраструктуры компании, считает операционный директор компании «Мультифактор» Виктор Чащин. Он добавил, что если такое произойдет, то заказчик вполне может обратиться в полицию с заявлением на киберэксперта. «В настоящее время деятельность подобного рода строится, в первую очередь, на доверии друг к другу», – резюмирует топ-менеджер.
По мнению управляющего консалтинговой компании RTM Group Евгения Царева, услуги пентеста легко обозначить как незаконные, так как есть формальный состав преступления (факт взлома) и причиненный материальный ущерб (например, при падении сервера заказчика). По его мнению, никакой договор не может сделать деятельность багхантеров полностью законной.
Напомним, в конце прошлого года было принято постановление пленума Верховного суда, посвященное «хакерским» статьям УК – разработка и применение вредоносного ПО стали юридически возможны при наличии согласия собственника информационной системы.
«Новость хорошая. Но обязательно нужно составлять корректный договор для заказчика и исполнителя, прописывать возможные проблемы при проведении работ – уничтожение информации, блокирование и прочее», – пояснил Царев.
Евгений Волошин из BI.ZONE уверен, что багхантеры могут рассчитывать на полную безопасность работы на платформах по поиску уязвимостей, если они будут использовать программу по указанному скоупу (концепции проекта) и действовать в рамках прописанных условий тестирования.
Чтобы снизить риск привлечения к уголовной ответственности багхантеров, Волошин посоветовал компаниям устанавливать жесткие и прозрачные правила, какие действуют на платформах баг баунти.
«Необходимо четко прописывать, на каких ресурсах (сайтах, доменах, приложениях) можно вести поиск, какие именно уязвимости нужно искать. Также нужно указывать, какие сообщения не принимаются компанией, – например, отчеты о проблемах, не связанных с безопасностью», – рекомендует киберэксперт.
Поделиться новостью
10:30 / 15 мая 2024
18:30 / 14 мая 2024
18:00 / 14 мая 2024
17:45 / 14 мая 2024
Названы самые популярные приложения в RuStore
10:30 / 15 мая 2024
Только 2% компаний тестируют устойчивость к DDoS-атакам
17:20 / 14 мая 2024
Прибыль Sony увеличилась на треть
17:06 / 14 мая 2024
