Группа депутатов внесла в Госдуму первый законопроект о легализации деятельности "белых" хакеров
Законопроект предлагает внесение поправок в статью 1280 части четвертой Гражданского кодекса РФ. Авторы законопроекта — представители партийного проекта "Цифровая Россия" Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев.
Для проведения тестирования защищенности систем российских компаний "белым" хакерам по действующим нормам законодательства требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав и повлечь штраф до 5 млн. руб. или в двойном размере стоимости ПО.
В законопроекте предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ или экземпляром базы данных, в целях выявления его уязвимостей для исправления явных ошибок. Также этот процесс можно поручить иным лицам. Но при этом выявление уязвимостей осуществляется исключительно в отношении экземпляров программ для ЭВМ и базы данных, функционирующих на технических средствах пользователя; передавать информацию о выявленных пробелах можно только правообладателю или тем, кто будет искоренять эти уязвимости, если иное не установлено. Также исследователи должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления.
"Россия является одним из лидеров в области развития цифровых технологий, однако наше законодательство пока не соответствует современным тенденциям — там отсутствует возможность тестирования цифровых сервисов на предмет уязвимостей, — подчеркивает первый заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи Антон Ткачев. — Выглядит это так — владелец сервиса нанимает тестировщика, условного "хакера", который должен выяснить все слабые места и предоставить по ним отчёт. Казалось бы, это необходимые действия для работы цифрового продукта, однако законодательством предусмотрена уголовная ответственность за такие действия. Необходимо предусмотреть возможность таких действий, чтобы все тестовые "взломы", являющиеся необходимым элементом безопасности вышли из серой зоны".
Первый заместитель председателя Комитета по региональной политике и местному самоуправлению, координатор партийной проекта "Цифровая Россия" в Московской области Геннадий Панин отмечает: "Если по действующим нормам законодательства можно тестировать программу только для обеспечения общей работоспособности и адаптации под свои нужды применения, то поправки помогают сделать ставку на обеспечение информационной безопасности. Так, предоставляется право вносить правки без разрешения правообладателя соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов и без вознаграждения ему. То есть, правомерно владея программой, пользователь не только сможет донастраивать продукт, но и исследовать со стороны безопасности — тестировать, насколько уязвимо, вносить требуемые изменения. Считаем, это особенно важно в условиях сложившейся ситуации цифровых угроз со стороны недружественных стран, намеренных и случайных утечек данных. Конечная цель — повышение информационной безопасности в части изучения программ, тестирования".
"Работа "белых" хакеров должна стать сегодня таким же обыденным и необходимым инструментом как, например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки различных сторон ведения бизнеса по заказу самих предпринимателей, — уверен один из авторов законопроекта, член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. — Государственным органам и корпорациям, которые зачастую и сами имеют штат квалифицированных ИT-специалистов, важно систематически привлекать "белых" хакеров как независимых профессионалов, которые со своей стороны проверят безопасность информационных систем и либо убедятся в их надежности, либо выявят уязвимости и дадут рекомендации по их устранению. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам — в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы. В таких условиях аудит уязвимости систем силами "белых" хакеров должен быть не просто систематическим, а постоянным. Тестируя ИT-системы на прочность, "белый" хакер действует по поручению и с согласия владельца такой системы и не совершает чего-либо незаконного. Наша цель — добиться того, чтобы это было закреплено в законодательстве, а сами специалисты получили больше свободы для своей работы на благо государства. На фоне увеличившегося количества атак на российские информационные системы, наша страна нуждается в регулировании, которое выведет работу с такими специалистами в правовую плоскость. "Белые" хакеры работают на то, чтобы определить логику потенциальных хакеров-преступников, модифицировать уязвимые места и усилить защиту информационных систем и ресурсов. Поэтому такие специалисты должны быть защищены с точки зрения закона".
"Пока нет большого смысла его обсуждать - он даже первое чтение еще не прошел, но направление он задает вполне определенное. Все-таки у нас что-то начинают регулировать, когда явление набирает обороты и отмахнуться от него уже не получается. Так что ждем-с принятия этого законопроекта, а также ряда иных законопроектов, направленных на регулирование вопросов поиска уязвимостей в информационных системах", - так прокомментировал инициативу депутатов ведущий блога "Бизнес без опасности" Алексей Лукацкий в личном телеграм-канале.