Недавно прошла информация об инициативе Минцифры легализовать «белый» или «этичный» хакинг. Это должно помочь в обеспечении кибербезопасности организаций, так как упростит программы Bug Bounty, которые помогают найти «дыры» в защите.
На фоне постоянных новостей об утечках персональных данных, ухода зарубежных вендоров и необходимости перестраивать системы безопасности, это кажется очень своевременной мерой.
Какие сложности сейчас испытывают «белые» хакеры и поможет ли им легализация, нам объяснил старший партнер в ГК «Масалович и партнеры» Александр Есаулов, который читает в Академии Информационных Систем свои авторские курсы по OSINT и конкурентной разведке.
Какие проблемы сейчас могут возникнуть у «белых» хакеров?
Как это делается в пентестерских компаниях: приходит крупная компания и говорит: «Хочу, чтобы вы меня проверили». Они оформляют договор, в рамках которого прописывают эти разрешения, и говорят: «Вы можете делать с нами что хотите, попробуйте нас взломать». Если взломали — значит молодцы, если нет — не молодцы.
Если человек со стороны приходит и начинает что-то искать на сайте этой компании, то фактически он нарушает ст. 272 УК РФ — осуществляет неправомерный доступ к компьютерной информации.
Но если потом он эту историю сдает и является сертифицированным «белым» хакером, тогда да, он становится неподсудным. Просто Bug Bounty будет узаконен.
Чем это будет отличаться от уже существующих программ Bug Bounty?
Если компания объявляет Bug Bounty, то изначально закладываются определенные правила — компания разрешает определенные действия, они прописаны. А здесь будет общая история, для всего комьюнити — будет несколько проще.
Это защита для того, кто осуществляет Bug Bounty. Нужно определить рамки дозволенного — что можно делать, а что нельзя.
Сейчас Bug Bounty устраивают в основном компании. Ждать ли этого от госорганов?
Я оценивают готовность наших госорганов как околонулевую.
Даже если просто взять какой-нибудь поисковик по уязвимостям, к примеру, раньше существовал поисковик Spice — он позволяет искать уязвимости на сайте. В свое время мы прогнали через этот поисковик несколько десятков сайтов госорганов, и он обнаружил там несколько десятков уязвимостей.
У огромного количества министерств и ведомств куча дыр в безопасности. С этим нужно что-то делать, но никто не хочет с этим ничего делать, потому что культура информационной безопасности низкая не только в коммерческих компаниях, но и в госорганах.
Её нужно повышать.
Оборотные штрафы за утечки, если их введут, мотивируют компании привлекать «белых» хакеров?
Жесткие штрафы мотивируют, вопрос только в правоприменительной практике. Строгость законов у нас часто компенсируется необязательностью их исполнения: если применение законов будут контролировать или проведут показательные порки, — тогда это заработает.
По своей воле никто заморачиваться не будет.
Люди осознали, что утечки могут нанести действительно серьезный ущерб, потому что всё это можно потом использовать для звонков «служб безопасности банков», с помощью фишинга выманивать данные карт и т. д. Опасность утечек реальная, её очень легко эксплуатировать, поэтому нужно её пресекать.
Поможет ли легализация создать сообщество «белых» хакеров в России?
Комьюнити такое уже существует. Оно называется White Hat. Если всё будет сделано правильно, это комьюнити будет активно расширяться.
Сейчас есть сервис, где компании регистрируются и говорят: «Если кто-то у нас найдет утечку, пусть сообщит в этот сервис, и мы ему заплатим вознаграждение». Этот сервис выступает посредником между теми, кто искал уязвимости и между компаниями.
Сейчас задачу этого сервиса возьмет на себя законодательство. Оно обеспечит защиту от злонамеренного преследования, если они не подразумевали противоправных действий, а открыто сообщили об этом компании.
Реализация этого позитивно повлияет на всё комьюнити: квалификация поднимется, как и уровень информационной грамотности, потому что инфополе будет забито такими новостями. Я считаю, что это позитивная история.
