Против легализации «белых» хакеров выступили Генпрокуратура, СК и МВД

МВД, Следственный комитет и Генпрокуратура выступают против внесения поправок в УК РФ о легализации создания и использования белыми хакерами вредоносного ПО по заданию заказчика. Обсуждение этой инициативы прошло в конце ноября текущего года в Госдуме, пишет РБК.

Легализация белых хакеров обсуждается публично с лета прошлого года. Минцифры тогда занялось проработкой возможности ввести понятие bug bounty (поиск уязвимостей в ПО за вознаграждение) в правовое поле.

Источники издания раскрыли текущую версию поправок. Изменения предполагается внести в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. В рамках корректировок законодательства предлагается:

• разрешить создание и использование вредоносного софта «белыми» хакерами по заданию заказчика;
• позволить «белым» хакерам изучать и тестировать программное обеспечение (ПО) для выявления уязвимостей и их исправления;
• обязать «белых» хакеров сообщать о выявленных «дырах» в ПО правообладателю софта;
• дать возможность обладателям информации и операторам информационных систем привлекать сторонних специалистов для выявления уязвимостей;
• предоставить правительству право установить требования к выявлению уязвимостей, сейчас их определяет заказчик поиска уязвимостей.

Начальник отдела информбезопасности главного управления правовой статистики и информационных технологий Генпрокуратуры Алексей Алборов заявил на совещании в Госдуме, что уголовное законодательство применяется исключительно в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. В случае работы по заказу нет факта причинения ущерба и нарушения общественных отношений или воли правообладателя, добавил Алборов.

Руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений ГСУ СК Константин Комарды сказал, что несмотря на возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает.

Комарды добавил, что в случае работы по договору или по заявке на тестирование от правообладателя информсистемы или сети программист «привлекается на легальных основаниях и создаёт программу под конкретный случай, его действия не образуют состав преступления». Человек должен совершать преступление осознанно, для причинения негативных последствий — в этом случае образуется состав преступления, отметил он.

СК пришёл к выводу, что поправки в УК будут излишними, заявил руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий. Позицию Генпрокуратуры и СК поддержал участник обсуждения от МВД.

Участники совещания отметили, что в случае принятия поправок хакеры-злоумышленники начнут предъявлять документы о заключении договора на тестирование информсистемы, чтобы доказать свою невиновность. Наказать же их в этом случае будет сложно.

Участвовавший в совещании директор по продуктовому развитию «Солар секьюрити» Владимир Бенгин рассказал, что более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Если поправки будут внесены, и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.

Один из авторов поправок, депутат Антон Немкин, рассказал, что их продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Парламентарий рассчитывает, что законопроект удастся доработать в срок до года. Немкин полагает, что для исключения рисков нужно обязать «белых» хакеров регистрироваться перед проведением тестирования, оставлять сообщение о своих намерениях и предоставлять свой IP-адрес.