Авторские материалы "Белых охотников за уязвимостями" легализуют и спасут

В Госдуме готовят законы, которые будут регулировать деятельность так называемых белых хакеров. То есть тех, кто на легальных основаниях ищет слабые места в различных компьютерных системах. По действующим нормам им пока может грозить даже уголовное преследование. О том, как и зачем депутаты собираются помочь белым хакерам, – обозреватель "Вестей ФМ" Борис Бейлин.

В отличие от черных хакеров, белые не шантажируют бизнес, не распространяют вирусы, не крадут компьютерные данные и не устраивают атаки на те или иные компании. Их задача – найти уязвимости в системе для быстрого исправления. То есть для повышения компьютерной безопасности.

Белые хакеры участвуют в своеобразных конкурсах, называемых "Bug Bounty". Это когда компании или разработчики программного обеспечения объявляют вознаграждение за поиск различных ошибок в их системах. Это нужно, чтобы обнаружить и устранить ошибки до того, как уязвимостями смогут воспользоваться злоумышленники. Подобные программы существуют во многих странах, в том числе и в России, поясняет гендиректор компании Zecurion Алексей Раевский. Хотя у нас деятельность "белых хакеров" не урегулирована.

РАЕВСКИЙ: Она позволяет канализировать тех, у кого руки чешутся что-нибудь взломать. А эта программа позволяет им использовать свои способности во благо. С другой стороны, это повышает защищенность системы. Чем больше людей пытаются взломать и чем больше находится уязвимостей и исправляется, тем более защищенной становится система. У нас правовой базы для такой концепции не существует. У нас любой человек, который пытается взламывать системы, является потенциальным фигурантом уголовного дела.

У нас к услугам белых хакеров уже прибегали разные компании. К примеру, "Яндекс", маркетплейс Ozon и банк "Тинькофф". Более того, в прошлом году Минцифры запустило программу, участники которой проверяли "Госуслуги" и Единую систему идентификации. Было объявлено, что принять участие в поиске уязвимостей может каждый. За успешную работу обещали премию до миллиона рублей. С согласия разработчика, "Госуслуги" пытались взломать восемь тысяч человек. Они помогли отыскать 37 уязвимостей. Отмечу, чтобы стать "белым хакером", нужно зарегистрироваться на специальном портале.

Но при этом белые "охотники за уязвимостями" сами находятся в уязвимом положение. При том, что их деятельность приносит пользу государству, заявил "Парламентской газете" член думского комитета по информационным технологиям Антон Немкин.

НЕМКИН: Речь идет о защите ключевых государственных систем и сервисов в условиях внешних атак. Поэтому мы сейчас активно работаем над законопроектами, которые должны облегчить работу белых хакеров, вывести ее из тени.

По словам Антона Немкина, нужно изменить законодательство. Утвердить положение о том, что компании и организации могут тестировать свои системы не только с помощью штатных сотрудников. Некоторые документы уже внесены на рассмотрение Госдумы. Другие – готовятся.

НЕМКИН: Один из них предлагает поправки в Гражданский кодекс, предполагающие возможность проведения тестирования защищенных систем, без нарушения авторских прав. Этот законопроект уже внесен в Госдуму. К внесению готов и второй законопроект. Мы предлагаем на законодательном уровне закрепить возможность оператора информационной системы на его условиях проводить мероприятия по выявлению уязвимостей информационной системы, в том числе с привлечением специалистов, которые не являются его сотрудниками.

Также готовится правка Уголовного кодекса. Там сейчас как минимум три статьи касаются хакеров. "Незаконный доступ к охраняемой компьютерной информации", "Распространение вирусов" и "Неправомерное воздействие на критическую информационную инфраструктуру страны". В некоторых случаях наказание – 10 лет тюрьмы. Депутаты планируют внести уточнения, что под действие этих статей не подпадают люди, которые тестируют компьютерные системы с согласия их владельцев.