Легализация «белых» хакеров в России откладывается. Силовики резко против. Под угрозой программы Bug Bounty
Отечественные силовые структуры выступили против легализации «белых» хакеров, которые ищут уязвимости в ПО и сервисах за деньги и по заказу разработчиков. Это тормозит развитие в России программ Bug Bounty – «белые» хакеры вполне обоснованно опасаются уголовного преследования.
В России белый цвет не в моде
Российские силовые структуры единым фронтом выпустили против легализации в стране так называемых «белых» хакеров, пишет РБК. Так называют специалистов по взлому, которые применяют свои навыки во благо и по заказу разработчиков – они занимаются поиском уязвимостей в их ПО и сервисах, чтобы те могли заранее устранить их. Делается это для того, чтобы их не нашли и не проэксплуатировали обычные хакеры. На работе «белых» хакеров во всем мире строятся программы Bug Bounty – такие есть у очень многих крупных компаний, они платят «белым» хакерам за поиск уязвимостей. Подобным, к примеру, официально занимаются Microsoft и Amazon. Общепринятый символ движения «белых» хакеров – белая шляпа.
Также существуют целые агрегаторы программ Bug Bounty, чтобы заказчикам и исполнителям было проще находить друг друга. Самая известная – это HackerOne, которая после 24 февраля 2022 г. не очень хорошо относится к российским специалистам. В России подобные проекты тоже имеются – один из таких агрегаторов ранее запустила ИБ-компания Positive Technologies.
Уголовный кодекс менять не надо
Против легализации «белых» хакеров совместно выступают Министерство внутренних дел и Генпрокуратура России, а также Следственный комитет. Все они утверждают, что никакие поправки в УК РФ, которые могли бы легализовать этичных хакеров, вносить не нужно.
О таком отношении силовиков к «белым» хакерам, по данным РБК, стало известно во время обсуждения этих поправок в Госдуме 28 ноября 2023 г.
Фактически, силовики выступили против инициативы Минцифры – ведомство еще весной 2022 г. начало продвигать идею легализации таких специалистов. В марте 2022 г. оно выступило с идеей по финансовой поддержке этичных хакеров, а в июле 2022 г. от него поступило предложение по их легализации.
Дальше – больше. В январе 2023 г. стало известно о планах Минцифры по запуску программы Bug Bounty для поиска уязвимостей государственных информационных систем силами «белых» хакеров. Но первые знаки, указывающие на то, что реализовать идею с легализацией этичных хакеров в России будет непросто, появились еще в марте 2023 г. Как сообщал CNews, свое мнение «против» высказали Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК).
В ноябре 2023 г. CNews писал, что Минцифры заплатит до 1 млн руб. «белым» хакерам за взлом «Госуслуг». Ведомство планирует до конца 2023 г. запустить годовую программу тестирования «Госуслуг» и еще девяти информационных сервисов «белыми» хакерами.
Хакеры вне закона
В настоящее время деятельность этичных хакеров как таковая российским законом не регулируется. Однако к ним вполне может быть применена ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»), которая подразумевает до семи лет лишения свободы. CNews писал, что «белые» хакеры не особо хотят работать в России, опасаясь уголовного преследования по этой статье.
В пользу легализации деятельности этичных хакеров высказывался и глава комитета Госдумы по информполитике Александр Хинштейн. В феврале 2023 г. он утверждал, что такие специалисты должны быть освобождены от ответственности, и добавил, что есть планы по проработке этого вопроса.
Однако промежуточный итог неутешителен – по прошествии более полутора лет с момента первых инициатив Минцифры, касающихся «белых» хакеров, законопроект по легализации таких специалистов все еще не внесен на рассмотрение в Госдуму. Сам документ, по информации РБК, содержит целый перечень послаблений: например, его авторы предлагают предоставить этичным хакерам «возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных «дырах» правообладателю софта; обеспечить возможность «обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей; дать Правительству России «устанавливать требования к выявлению уязвимостей» (сейчас их устанавливает непосредственный заказчик).
Для реализации предложенного авторы законопроекта предлагают скорректировать не только УК РФ. Изменения также необходимо внести в ГК РФ и в закон «Об информации, информационных технологиях и защите информации».
Что не нравится силовикам
Как пишет РБК, силовые структуры, протестующие против идеи легализации этичных хакеров, приводят одинаковые доводы. Так, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета Константин Комарды утверждает, что в России действительно есть законодательная возможность привлечь «белых» хакеров к ответственности, например, за тестирование той или иной информсистемы по заказу ее владельца. Но, он подчеркнул, что «на практике этого никто не делает». «Если человек заключает договор, или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления», – добавил он.
Комарды утверждает, что основной фактор для привлечения «белого» хакера к ответственности — это наличие за ним вины. По его словам, хакер должен идти на преступление осознанно, в стремлении причинить вред – только в этом случае будет иметь место состав преступления. «Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними», – подытожил он.
Абсолютно аналогичной точки зрения придерживается и начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры России Алексей Алборов. Как пишет РБК, он присутствовал на обсуждении поправок, легализующих деятельность этичных хакеров. Он тоже говорит, что вина за таким специалистом будет лишь в случае, если он совершает взлом с целью причинения ущерба. «Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений», – отметил Алборов.
Мнение Алборова и Комарды разделяют и в МВД, пишет издание. Неназванный участник совещания обратил внимание на то, что если поправки будут приняты, то обычные хакеры будут выдавать себя за этичных, предъявлять договор на тестирование защищенности инфосистем, чтобы заранее обелить себя, после чего ломать их в своих целях.
Стоит отметить, что сотрудничество с хакерами далеко не всегда идет на пользу корпорациям. В конце ноября 2021 г. CNews освещал ситуацию, в которой оказалась Microsoft. Обидевшийся на нее «белый» хакер опубликовал секрет превращения любого пользователя Windows в администратора. По его мнению, корпорация существенно недоплатила ему в рамках программы поиска ошибок в продуктах экосистемы Windows. С ним солидарны многие его «коллеги».
Мнение противоположной стороны
«Белые» хакеры приносят ощутимую пользу государству, несмотря на то, что над ними висит угроза скоротать год-другой в местах не столь отдаленных или получить условный срок и отметку о судимости. Например, в мае 2023 г. Минцифры отчиталось, что силами таких специалистов в ходе официальной программы Bug Bounty на портале госуслуг было выявлено свыше 30 уязвимостей различного уровня опасности.
Но «белые» хакеры могли бы работать намного эффективнее, если бы их деятельность в России получила статус легальной. Как сообщил изданию директор по продуктовому развитию «Солар секьюрити» Владимир Бенгин (он тоже присутствовал на обсуждении поправок), свыше половины всех ныне действующих российских этичных хакеров избегают выхода в легальное поле. Причина банальна – им ни к чему привлечение к уголовной ответственности. «Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены, и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», – сказал Бенгин.
Сами «белые» хакеры очень хотя легализоваться и говорят об этом открыто. 12 ноября 2023 г. в Центре стратегических разработок (ЦСР) состоялось заседание, в котором участвовал этичный хакер Марсель Дандамаев, пишет РБК. Дандамаев говорил, что в нынешних реалиях и частные организации, и различные госструктуры весьма неохотно контактируют с «белыми» хакерами, вследствие чего последним становится трудно сообщать им информацию о найденных «дырах» в их системах.
По словам Дандамаева, среди компаний, вышедших на контакт с этичными хакерами, преобладают те, которые не реагируют на их информацию об уязвимостях и не устраняют их, пока обычные хакеры не используют их в своих целях.