- Статьи
- Интернет и технологии
- Взлом с проникновением: в ГД намерены урегулировать деятельность «белых хакеров»
Взлом с проникновением: в ГД намерены урегулировать деятельность «белых хакеров»
В России законодательно урегулируют деятельность «белых хакеров». Пакет соответствующих законопроектов в Госдуму планируют внести депутаты и сенаторы. Меры, по мнению парламентариев, позволят повысить доверие между специалистами по кибербезопасности и владельцами информационных ресурсов, а также укрепить цифровой суверенитет России. Стоит ли полагаться на «белых хакеров» при поиске уязвимостей — в материале «Известий».
По букве закона
В Госдуму внесут пакет законопроектов, направленных на законодательное регулирование деятельности «белых хакеров». Об этом рассказал член комитета ГД по информационной политике, информационным технологиям и связи Антон Немкин.
«К внесению в Госдуму готовится новый комплексный пакет законопроектов, направленных на регулирование деятельности специалистов по выявлению уязвимостей в информационных системах», — отметил он, добавив, что данные поправки подготовлены при активном участии экспертного сообщества.
Предлагаемые меры, по словам парламентария, призваны создать правовые условия для развития этичного хакерства. Они также позволят повысить доверие между специалистами по кибербезопасности и владельцами информационных ресурсов и укрепить цифровой суверенитет России.
Для достижения этих целей авторами инициатив были разработаны три документа. Все они в случае успешного рассмотрения и принятия могут вступить в силу с 1 марта 2026 года.
Немкин отметил, что первый законопроект вносит изменения в Гражданский кодекс РФ. Они предоставляют пользователям право изучать и тестировать программы для ЭВМ и базы данных на наличие уязвимостей без согласия правообладателя. Правда, делать это будет разрешено при условии, что анализ осуществляется в целях повышения безопасности и без распространения полученной информации.
«Этот шаг снимает риск уголовного или гражданского преследования специалистов, действующих добросовестно и в интересах кибербезопасности», — пояснил депутат.
Второй законопроект, в свою очередь, вносит изменения в положения федерального закона «Об информации, информационных технологиях и защите информации». Им закрепляется порядок проведения мероприятий по выявлению уязвимостей, в том числе правила привлечения исполнителей, требования к платформам для тестирования, порядок передачи полученной информации и взаимодействие с уполномоченными органами. Всё это, как считает Немкин, создает легальную рамку для безопасного взаимодействия владельцев ресурсов и исследователей.
Последний законопроект вносит изменения в Уголовный кодекс и Уголовно-процессуальный кодекс РФ. Речь идет об ответственности за неправомерную передачу информации об уязвимостях, которая была получена в ходе тестирования. Это, по задумке авторов инициативы, позволит защитить критическую инфраструктуру и предотвратит злоупотребления. За передачу данных, которые можно использовать для кибератак, будет установлено наказание вплоть до лишения свободы.
Всё это, по мнению Немкина, позволит создать системный правовой механизм, предполагающий ответственный поиск уязвимостей и защиту государственных и частных систем от недобросовестных действий.
«Важно легализовать работу «белых хакеров», создать условия для сотрудничества между исследователями и бизнесом и при этом обеспечить безопасность критически важных данных. Это необходимый шаг к формированию зрелой экосистемы кибербезопасности в нашей стране», — резюмировал парламентарий.
К слову, в диалоге с отраслью и коллегами по разрабатываемым законопроектам находится и Минцифры. Об этом «Известиям» рассказали в пресс-службе министерства.
— Министерство также считает целесообразным на уровне отраслевого законодательства определить требования, правила и границы для специалистов, которые занимаются поиском уязвимостей. Такие правила позволят понимать, что специалист является так называемым белым хакером, — пояснили в Минцифры.
Проектируемые законодательные изменения, по мнению министерства, позволят легализовать работу таких специалистов, что исключает возможные негативные действия при осуществлении ими своей деятельности при условии соблюдения правил и границ.
В Минцифры допускают, что положения документов еще могут быть изменены с учетом обсуждения предложений отрасли и заинтересованных ведомств.
Обеление деятельности
Цифровые технологии стремительно развиваются, и чем сложение цифровой продукт, тем из большего количества строк и данных он состоит, обращает внимание архитектор информационной безопасности и vCISO UserGate Дмитрий Овчинников. Несмотря на тестирование программного обеспечения на всех этапах его создания, есть вероятность, что в нем будет содержаться уязвимость, не исключает он.
— Специалисты по багхантингу и «белые хакеры» могут найти уязвимости в программном коде, которые никогда не обнаружат с помощью тестового ПО или при помощи самих разработчиков. Хакеры умеют искать и эксплуатировать уязвимости, это их конек и то, чем они зарабатывают деньги. Поэтому их вклад в повышение безопасности является существенным, — полагает собеседник «Известий».
Реальные аудиты оценки степени защищенности играют большое значение в повышении общей киберустойчивости, уточняет он.
— Поиск уязвимых мест, неправильных конфигураций, уязвимых протоколов — всё это могут выполнять «белые хакеры» для повышения защищенности объектов. Даже используя проверенное ПО и ОС, при конфигурации можно допустить ошибки, которые могут привести к киберинциденту, — указывает эксперт.
Образно говоря, работа «белых хакеров» похожа на рыбалку — они запускают «автопоиск» и смотрят, что поймается, объясняет руководитель отдела системного администрирования IT-компании Simpl Group Константин Ильиных.
— На практике самостоятельные «белые хакеры» берут пул IP-адресов и автоматизировано сканируют их на уязвимости. Если что-то обнаруживают — пробуют взломать и смотрят, «заходит» ли доступ, — отмечает он.
Исследователи сегодня действуют от лица компаний в рамках договорных отношений по оказанию услуг аудита защищенности или же как частные лица в программах багбаунти (программа, в рамках которой компании платят независимым исследователям за поиск и предоставление информации об уязвимостях в их программном обеспечении или системах), напоминает Овчинников.
Сегодня «белые хакеры» работают в двух форматах — как штатные сотрудники компаний и как внешние подрядчики, подтверждает технический директор Р7 Олег Жигалов. И ключевая их задача заключается в проведении контролируемого тестирования систем безопасности по заранее согласованному плану и четкому договору.
— Поэтому уже сейчас такой подход выводит их деятельность из серой зоны и создает правовые рамки, защищая в том числе самих специалистов от нарушения закона, — разъясняет эксперт.
Те же программы багбаунти имеют четкое описание области действия и прозрачную процедуру вознаграждения в виде официальной «белой» оплаты, дополняет Овчинников.
Любые действия вне этих рамок, даже безобидный взлом в исследовательских целях без разрешения владельца ресурса, — это уход с правового поля и попадание под уголовную и административную ответственность за неправомерные действия, предупреждает он.
Возможность получения наказания за взлом системы является самым главным страхом «белых хакеров», убежден Константин Ильиных.
— Где та самая грань правонарушения? Взломал ли он систему? Да, взломал. Что-то он украл? Нет, ничего не украл. Куда белый хакер должен подсветить проблемы в данной организации, чтобы это было безопасно и не уголовно наказуемо? — задается вопросами специалист.
Со всей ответственностью
Стоит отметить, что деятельность «белых хакеров» превратилась из просто важной в абсолютно необходимую составляющую кибербезопасности, убежден эксперт по пентесту, ведущий инженер компании «Газинформсервис» Иван Рябов. Множество решений для защиты информации, существующих сегодня, не могут гарантировать полную безопасность.
— Работа «белых хакеров» позволяет компаниям не только поддерживать высокий уровень защищенности, но и сохранять доверие клиентов, предотвращая финансовые потери, — подчеркивает собеседник «Известий».
Важность работы «белых хакеров» заключается в том, что чем больше людей проверяют системы, тем больше уязвимостей будет выявлено и закрыто, полагает Константин Ильиных.
— Они позволяют находить уязвимости в неожиданных местах и тем самым усиливать общую защищенность. Чтобы этот процесс был этичным и регламентирован, нужен набор правил, нечто вроде профессионального кодекса, — считает эксперт.
Этот кодекс должен определить, кто и как может сканировать инфраструктуру, как документировать находки и куда их безопасно сообщать, чтобы это не оборачивалось уголовными последствиями для исследователя, перечисляет специалист.
Можно также создать специальный уполномоченный орган, который проверял бы сообщения об уязвимостях и подтверждал факт добросовестного выявления проблемы, предлагает Ильиных. Важны при этом формальные процедуры найма и аккредитации хакеров, уточняет он.
Для деятельности «белых хакеров» крайне важно понимать границы цели, в рамках которой можно искать уязвимость, отмечает Дмитрий Овчинников.
— Эти границы должны быть четко очерчены в программе багбаунти или договоре на проведение аудита защищенности, — уверен он.
Наиболее важными в законодательном регулировании деятельности «белых хакеров» Олегу Жигалову видятся три положения — четкое разграничение разрешенных и запрещенных действий, обязательное получение официального согласия владельца IT-продукта на его проверку и создание четкого регламента действий при обнаружении критических уязвимостей.
Необходимо при этом сохранять правовую определенность для всех участников процесса, указывает Рябов. Обязателен процесс раскрытия уязвимостей, который защитит исследователя от юридической ответственности при соблюдении установленных правил.
Ставка на репутацию
Существуют, к слову, и риски при работе с «белыми хакерами», обращает внимание Олег Жигалов. Ключевой из них заключается в потенциальном воздействии хакеров на рабочие бизнес-процессы. Но он нивелируется введением жесткой регламентации работы исследователей, убежден эксперт.
Ярким примером рисков при работе с «белыми хакерами» являются программы багбаунти, указывает Иван Рябов.
— Чтобы снизить потенциальные угрозы при предоставлении внешним исследователям доступа к своим системам, большинство компаний начинают не с публичных программ, а с закрытых. На этом этапе приглашаются к тестированию только топовые «белые хакеры» с уже хорошей репутацией на площадке и в комьюнити, — отмечает он.
Еще один риск при работе с хакерами — мотивация человека, уверен Константин Ильиных.
— Важно понять, пришел ли он, чтобы помочь или собрать сведения и потом использовать их в корыстных целях. Нельзя полностью положиться на NDA и формальные подписки, нужна проверка временем, контроль доступа и постепенное наращивание доверия, — разъясняет собеседник «Известий».
Серьезной угрозой может оказаться слив сведений или дезинформация, например подмена баз данных, дополняет эксперт.
— Поэтому при найме «белых хакеров» важно тщательное кадровое сопровождение, проверка репутации и аккуратное управление полномочиями, — резюмирует Ильиных.
