Законопроект №509708-8 «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации (об использовании программ для ЭВМ и баз данных)», касающийся работы «белых хакеров», был принят Госдумой в первом чтении.
Документ внесён в парламент ещё в декабре прошлого года представителями партийного проекта «Цифровая Россия», куда входят Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев. Как поясняют авторы инициативы, для проведения тестирования защищенности систем российских компаний «белым» хакерам по действующим нормам законодательства требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав и повлечь штраф до 5 млн. руб. или в двойном размере стоимости ПО.
В законопроекте предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ или экземпляром базы данных, в целях выявления его уязвимостей для исправления явных ошибок. Также этот процесс можно поручить иным лицам. Но при этом выявление уязвимостей осуществляется исключительно в отношении экземпляров программ для ЭВМ и базы данных, функционирующих на технических средствах пользователя; передавать информацию о выявленных пробелах можно только правообладателю или тем, кто будет искоренять эти уязвимости, если иное не установлено. Также исследователи должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления.
«Россия является одним из лидеров в области развития цифровых технологий, однако наше законодательство пока не соответствует современным тенденциям — там отсутствует возможность тестирования цифровых сервисов на предмет уязвимостей, — подчёркивает первый заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи Антон Ткачёв. — Выглядит это так — владелец сервиса нанимает тестировщика, условного «хакера», который должен выяснить все слабые места и предоставить по ним отчёт. Казалось бы, это необходимые действия для работы цифрового продукта, однако законодательством предусмотрена уголовная ответственность за такие действия. Необходимо предусмотреть возможность таких действий, чтобы все тестовые «взломы», являющиеся необходимым элементом безопасности вышли из серой зоны».
Первый заместитель председателя Комитета по региональной политике и местному самоуправлению, координатор партийной проекта «Цифровая Россия» в Московской области Геннадий Панин отмечает:
«Если по действующим нормам законодательства можно тестировать программу только для обеспечения общей работоспособности и адаптации под свои нужды применения, то поправки помогают сделать ставку на обеспечение информационной безопасности. Так, предоставляется право вносить правки без разрешения правообладателя соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов и без вознаграждения ему. То есть, правомерно владея программой, пользователь не только сможет донастраивать продукт, но и исследовать со стороны безопасности — тестировать, насколько уязвимо, вносить требуемые изменения. Считаем, это особенно важно в условиях сложившейся ситуации цифровых угроз со стороны недружественных стран, намеренных и случайных утечек данных. Конечная цель — повышение информационной безопасности в части изучения программ, тестирования».
«Работа «белых» хакеров должна стать сегодня таким же обыденным и необходимым инструментом как, например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки различных сторон ведения бизнеса по заказу самих предпринимателей», — уверен один из авторов законопроекта, член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
Выступая с докладом перед голосованием, депутаты напомнили, что на российские системы оказывается большое количество кибератак, поэтому необходимо регулярно проводить аудит систем безопасности, а следовательно — упростить работу соответствующим специалистам.
Примечательно, что инициаторы не раз упомянули «тестирование ПО из „недружественных стран“» также, но о регулировании этого вопроса пока никаких предложений не прозвучало.
Когда пришло время вопросов к законопроекту, Ирина Яровая сказала, что в документе неясны вопросы инфобезопасности, потому что предусмотрена передача данных.
Авторы ответили, что нормы о передаче данных присутствуют в законопроекте и будут ещё дорабатываться ко второму чтению.
Депутат Алексей Куринный спросил, что будет дальше после проверки «белым хакером» программ — он просто рассказал о проблемах правообладателю, а тот может принять решение об исправлении, а может и не принять?
Инициаторы законопроект ответили, что проведение тестирования заказывает сам правообладатель, поэтому он и должен быть заинтересован в исправлении ошибок.
Перед голосованием выступил Анатолий Вассерман. Он заявил, что раньше сам занимался программированием, но тогда авторское право было «вменяемым, не то, что сейчас». По его словам, существующую «уязвимость в авторском праве», которое ставит под угрозу «белых хакеров», нужно устранить как можно скорее, особенно в современных условиях повышенной киберопасности для систем страны.
Законопроект был в итоге принят в первом чтении.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.