Хакеров в России приравняют к террористам. Власти хотят радикально ужесточить кару за взлом – от 10 лет тюрьмы до пожизненного
В России может измениться уровень ответственности хакеров за взлом госсайтов. Российские власти намерены приравнять такие деяния к терроризму со всеми вытекающими из этого последствиями для хакеров. Инициатива пока находится на уровне идеи. Наказание за терроризм в России – до 20 лет лишения свободы, а в некоторых случаях - пожизненное заключение.
Из виртуальных преступников в реальные террористы
Хакеры в России могут в одночасье превратиться и простых киберпреступников в самых настоящих террористов, если инициатива российских властей превратится из идеи в закон. Предложение приравнять киберпреступников к террористам выдвинул лично зампред комитета Госдумы по информполитике, ИТ и связи Андрей Свинцов (партия ЛДПР).
Как пишет Агентство городских новостей «Москва», идея Свинцова заключается в том, чтобы расценивать взлом сайтов госорганов и государственных же онлайн-сервисов как терроризм. Это предложение он озвучил в качестве ответа на инициативу экспертов российского Совбеза по ужесточению ответственности за преступления, совершенные с применением информационных технологий.
Андрей Свинцов отдельно уточнил, за взлом каких именно сайтов российские правоохранительные органы могут разглядеть в хакерах террористов. «Можно ужесточать за преступления, совершенные в отношении госсектора, например, портала госуслуг, портала Центральной избирательной комиссии, сервисов, которые используются для проведения голосования, опросов, поддержания критической инфраструктуры, когда ничего не украли, а временно вывели из строя, – заявил Свинцов Агентству. – Вот такие преступления должны приравниваться к террористической угрозе и преступлениям против безопасности государства».
Как будут наказывать
В настоящее время взлом госсайтов и госсервисов, в теории, можно классифицировать как нарушение ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру России). КИИ – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
К объектам КИИ относятся: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъекты КИИ – это государственные организации, юрлица и индивидуальные предприниматели, владеющие информационными системами из ряда стратегически важных отраслей. Среди таких отраслей — транспорт, телекоммуникаций, банковская сфера, атомная энергетика, ТЭК, здравоохранение, наука, металлургия, оборонная, ракетно-космическая и химическая промышленности.
Нарушение ст. 274.1 УК РФ, в зависимости от тяжести преступления, карается лишением свободы на срок до 10 лет и штрафом до 1 млн руб.
Также в УК РФ есть ст. 205 (террористический акт). Минимальное наказание по ней – 10 лет тюрьмы, но можно лишиться свободы и на 20 лет. А если в результате совершения преступления кто-то умер, то могут присудить и пожизненное заключение.
За взлом соцсетей давать поблажки
Высказавшись за кардинальное ужесточение наказания за взлом госсайтов и госсервисов, Свинцов в то же время решил не поддерживать инициативу Совбеза по превращению взламывающих обычные сайты хакеров в террористов. «Что касается реального сектора экономики, социальных сетей, каких-то коммерческих вещей – здесь я против ужесточения наказания, потому что всегда могу пострадать невинные люди», – сказал политик Агентству горновостей «Москва».
По его мнению, хакеров, которые ломают сайты и сервисы, но обходят госсектор стороной, и без того не ожидает ничего хорошего, когда их поймают и отправят на скамью подсудимых. «В текущем режиме преступления с использованием информационных технологий совершаются совершенно в различных сферах, – заявил Свинцов. – Это и мошенничество, и кража денежных средств, и вымогательство, похищение баз данных, персональных данных. За такого рода преступления предусмотрена достаточно серьезная ответственность».
Белый цвет не в моде
В словах Андрея Свинцова не было ни единого упоминания о так называемых «белых» хакерах или «этичных» хакерах. Они тоже занимаются взломом сайтов и сервисов, но делают это или по предварительной договоренности с их владельцами, или по собственной инициативе, но не с целью что-то украсть или сломать, а чтобы уведомить владельца сервиса об уязвимости, чтобы тот ее устранил.
В России на момент выпуска материала существовало небольшое сообщество «белых» хакеров, но при этом не было законодательства, регулирующего их деятельность. Из-за этого многие «этичные» хакеры, как сообщал CNews, не хотят работать в России – они попросту боятся уголовной ответственности.
При этом в стране существуют так называемые «платформы багбаунти», на которых компании предлагают «белым» хакерам искать уязвимости в их сервисах в обмен на деньги. За рубежом подобное очень востребовано – есть даже крупнейший проект подобного рода HackerOne, который после начала всем известных событий не желает иметь ничего общего с российскими хакерами.
Отечественные платформы багбаунти продвигают, в частности, ИБ-компании Positive Technologies и Bi.Zone. Среди тех, кто пользуется услугами «белых» хакеров, есть и представители российского госсектора – например, как сообщал CNews, в начале 2023 г. Минцифры инициировало программу по поиску «дыр» на сайте «Госуслуг», за взлом которого Свинцов предлагает приравнивать хакеров к террористам. Проект Минцифры привлек более 8,4 тыс. белых хакеров со всей страны Тестирование проходило на платформах Bi.Zone Bug Bounty и Standoff 365, принадлежащей Positive Technologies
В ноябре 2023 г. на площадке Bi.Zone Bug Bounty Минцифры запустило уже второй по счету этап проекта по поиску уязвимостей в инфраструктуре электронного правительства. «Белые» хакеры могли заработать до 1 млн руб. за одну уязвимость, в зависимости от степени ее критичности.
Как инициатива Андрея Свинцова отразится на деятельности «этичных» хакеров, если она станет законом, пока неизвестно. Редакция CNews обратилась в Минцифры, а также в компанию «Доктор Веб» с вопросами о степени вероятности ее принятия, о том, как власти будут ловить и судить хакеров – граждан других стран, насколько жестокой будет расправа над киберпреступниками, а также о последствиях для «этичных» хакеров, и ожидает ответа. В компаниях Bi.Zone, «Лаборатория Касперского» и Positive Technologies от комментариев отказались.
В ИБ-компании F.A.C.C.T. CNews сообщили: «В ежегодном отчете «Киберпреступность в России и СНГ, 2023-2024 гг. Тренды, аналитика, прогнозы» аналитики департамента Threat Intelligence компании F.A.С.С.T. выделили 14 прогосударственных хакерских групп (APT, Advanced Persistent Threat), которые атаковали организации на территории России и стран СНГ. В основном, мишенями атакующих оказывались госучреждения, организации, связанные с критически важной инфраструктурой, военные ведомства и предприятия оборонно-промышленного комплекса. В 2024 г. в условиях продолжающегося острого геополитического конфликта приоритетными целями хактивистов и прогосударственных хакерских групп будут шпионаж, кража интеллектуальной собственности и получение доступа к базам данных компаний – в первую очередь госорганизаций, предприятий военно-промышленного и научно-исследовательского сектора. Кроме того, эксперты F.A.С.С.T. предупреждают о рисках проведения новых сложных кибератак на российские организации через компрометацию их поставщиков, вендоров и партнеров».