В конце октября прошлого года Евросоюз принял новые правила ограничения распространения продуктов и технологий для обхода средств защиты. В новых правилах этих продукты и технологии получили название "intrusion software", которое расшифровывалось как: "ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:
- добыча данных или информации из средств вычислительной техники или сетевых устройств, или
- модификации систем или пользовательских данных, или
- модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций".
Ограничение подразумевало получение специальной экспортной лицензии.
И вот по этому же пути пошел давний союзник Европы - США, которые решили ввести аналогичные правила для своих компаний. На следующей неделе заканчивается срок приема замечаний к данным новым правилам регулирования такого же как и в Европе понятия "intrusion software". Правда американское определение немного отличается от европейского и касается не только ПО, но и "информации, требуемой для разработки, тестирования, совершенствования или оценки ПО для вторжения". То есть различные компании, которые создают эксплоиты для тестовых целей, сканеры безопасности, средства эмуляции атак, да и просто публикуют информацию об уязвимостях должны получать соответствующую экспортную лицензию (про нее я уже писал).
Некоторые игроки американского рынка ИБ (Symantec, FireEye, WhiteHat и другие) даже создали коалицию, которая должна отстаивать права американских ИБ-компаний на бесконтрольное распространение информации и ПО, подпадающего под новое регулирование. А 6-го августа на предстоящем BlackHat организована специальная сессия, посвященная данной тематике.
Откуда растут ноги у требований, вводимых в США и Евросоюзе? Это известные Вассенаарские соглашения по контролю за распространением технологий двойного назначения, которые контролируют много чего, включая криптографию (именно по ней о Вассенаарских соглашениях многие и знают). Так вот 4 декабря 2013-го года в данные соглашения были внесены новые изменения, среди которых и контроль "intrusion software".
Но самое во всей этой истории другое. Среди 41-й страны, являющейся участницей Вассенаарских соглашений, есть и Российская Федерация, которая по идее должна в своем законодательстве реализовать данные изменения, а значит российские пентестеры и другие компании, занимающиеся схожими услугами и продуктами, должны будут получать экспортную лицензию на данный вид деятельности. Регулирует эту область в России у нас ФСТЭК, а точнее ее подразделение по экспортному контролю.
ЗЫ. Кстати, недавно взломанная Hacking Team в полной мере подпадала под требования европейского экспортного законодательства. Интересно, была у них лицензия на данный вид деятельности или нет?..
