ФСБ и ФСТЭК против легализации деятельности «белых хакеров». Эксперты отмечают, что многие исследователи уязвимостей боятся уголовной ответственности, которая сейчас предусмотрена по статье 272 УК РФ. По ней виновным светит до семи лет лишения свободы. Летом 2022 г. началась работа по выводу деятельности «белых хакеров» из под этой статьи.
ФСБ и ФСТЭК против
Легализация «белых хакеров» в России поставлена на паузу. Обсуждение соответствующего законопроекта «зависло» из-за Федеральной службы безопасности (ФСБ) и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Об этом пишут «Ведомости» со ссылкой на собеседников, близких к обсуждению документа.
Силовые структуры выступили против легализации действий хакеров, связанных с неправомерным доступом к информации. По данным издания, обсуждение законопроекта может быть отложено. Речь идет об изменениях в статью 272 Уголовного кодекса, которая предусматривает ответственность за неправомерный доступ к компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо ее копирование. Наказываются лишением свободы на срок до семи лет.
Напомним, «белые хакеры» — это кибервзломщики, использующие свое мастерство во благо. Они помогают разработчикам искать бреши в их продуктах за вознаграждение. Символом этого движения является белая шляпа, откуда и пошло название «белые хакеры».
Менять УК никто не будет
Работа в направлении легализации «белых хакеров» была начата Минцифры летом 2022 г. Министерство прорабатывало возможности введения понятия bug bounty в правовое поле. Это общее название программ вознаграждения хакеров за поиск уязвимостей.
По словам собеседника «Ведомостей», менять Уголовный кодекс «никто не будет». Он пояснил, что между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы тонкая грань.
Принятие законопроекта может встретить сопротивление не только силовых ведомств, но и «белых хакеров», если документ потребует от них раскрытия своих данных, рассказал изданию технический директор «Синклита» Лука Сафонов.
По мнению партнера фирмы «Рустам Курмаев и партнеры» Дмитрия Горбунова, законопроектом предлагается легализовать противоправную деятельность. И его принятие негативно повлияет на судебную практику в отношении киберпреступлений, отметил он.
Однако адвокат и руководитель уголовной практики Vinder Law Office Максим Маценко не видит проблем в легализации деятельности исследователей уязвимостей. Он пояснил, что участие хакера в bug bounty предполагает, что компания добровольно предоставляет ему данные. А этот факт исключает уголовную ответственность за доступ к компьютерной информации. При том условии, конечно, если хакер не выходит за пределы дозволенного, пояснил изданию Маценко.
Bug bounty в России
В России существует несколько агрегаторов услуг белых хакеров. Одну из них запустила компания Positive Technologies, о планах по созданию такого сервиса она сообщала еще в ноябре 2021 г. Платформа заработала в мае 2022 г.
Как рассказал «Ведомостям» советник гендиректора Positive Technologies Артем Сычев, за девять месяцев работы bug bounty платформы компания выплатила «белым хакерам» более 15 млн руб. Он считает, что принятие законопроекта позволит привлечь к полезной работе тех исследователей, которые сейчас боятся работать из-за правовых последствий.
Подобные программы есть у BI.ZONE и «Синклит». В январе 2023 г. также стало известно и о планах Минцифры запустить программу по поиску уязвимостей государственных информационных систем.