28.11.2023
Правоохранительные органы совершенствуют технологическую составляющую своей деятельности, обзаводятся современным оборудованием, привлекают к работе так называемых «этичных (белых) хакеров», которые помогают выявлять киберпреступников, фиксировать следы преступления в цифровом пространстве. Следует отметить, что работа в данном направлении приносит свои плоды, но очевидно, что этого недостаточно. МВД и Генпрокуратура выступили против легализации «белых» хакеров: они опасаются, что это помешает наказывать реальных киберпреступников. Сами этичные хакеры не готовы открыто работать из-за риска уголовного преследования. Генпрокуратура, МВД и Следственный комитет выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта «белыми» хакерами по заданию заказчика. Об этом сообщили представители этих ведомств на обсуждении соответствующих поправок в Госдуме во вторник 28 ноября. Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информационных систем на уязвимости. Вопрос легализации деятельности «белых» хакеров в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty – поиск уязвимостей в программном обеспечении за вознаграждение. В феврале 2023-го глава комитета Госдумы по информационной политике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности и что такой вопрос планируется проработать. Но в марте движение законопроекта осложнилось из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Сам пакет законопроектов до сих пор не внесен в Госдуму. Речь идет о поправках в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. Помимо легализации создания и использования вредоносного софта «белыми» хакерами по заданию заказчика, предлагается:
- дать «белым» хакерам возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных «дырах» правообладателю софта;
- предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей;правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty).
Законопроект поддерживают и сами «белые» хакеры. Основная проблема сейчас заключается в том, что после обнаружения уязвимостей о ней сложно сообщить владельцу софта или системы: и государственные, и частные организации неохотно идут на контакт с «белыми» хакерами. Кроме того, зачастую компании не реагируют должным образом на сообщения об уязвимостях, обнаруженных «белыми» хакерами. Только часть организаций полностью устраняет уязвимости после получения информации о них, в то время как остальные живут с обнаруженными уязвимостями до наступления инцидента. Документ продолжает обсуждать рабочая группа, в которую входят представители Минцифры, ФСБ, МВД и ФСТЭК. Он рассчитывает, что законопроект удастся доработать, но оговаривается, что на это уйдет не менее года. Депутат также считает, что для исключения возможных рисков необходимо обязать «белых» хакеров регистрироваться перед проведением тестирования и оставлять сообщение о своих намерениях, предоставлять свой IP-адрес. Следует отметить, что в РФ отсутствует документ, который содержал бы основные положения уголовной политики в сфере противодействия киберпреступлениям. В России действуют: Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 05.12.2016 N 646), Федеральный закон от 28.12.2010 N 390-ФЗ «О безопасности», Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». В то же время, данные нормативные акты не являются документами, в комплексе регулирующими вопросы противодействия киберугрозам.