Силовое лобби России против «баг баунти»: Генпрокуратура и МВД не поддерживают легализацию «белых» хакеров

Генпрокуратура, МВД и Следственный комитет (СК) выступили против внесения поправок в Уголовный кодекс, которые могут легализовать создание и использование вредоносного софта «белыми» хакерами по заданию заказчика. Об этом сообщает РБК со ссылкой на аудиозапись совещания в Госдуме, которое было посвящено поправкам в УК и прошло 28 ноября.

Законопроекты о легализации деятельности «белых» хакеров в России обсуждаются с лета 2022 года, когда Министерство цифрового развития России начало изучать возможность введения в законодательство понятия «bug bounty» — вознаграждения за поиск уязвимостей в программном обеспечении. В феврале 2023 года глава комитета Госдумы по информполитике Александр Хинштейн заявил, что «белые» хакеры, действующие в интересах России на ее территории и за рубежом, должны быть освобождены от ответственности. Однако в марте «Ведомости» со ссылкой на источник писали, что движение законопроекта осложнилось из-за позиции ФСБ и ФСТЭК.

Сам пакет законопроектов до сих пор не внесен в Госдуму, но редакция РБК получила доступ к рабочему варианту документов (их подлинность подтвердил собеседник, близкий к авторам поправок). Согласно данным, предполагается внести поправки в закон «Об информации, информационных технологиях и защите информации», Гражданский и Уголовный кодексы. Кроме легализации создания и использования вредоносного софта «белыми» хакерами по заданию заказчика, также предлагается:

• дать возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных «дырах» правообладателю софта;
• предоставить возможность обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей;
• правительство получит право устанавливать требования к выявлению уязвимостей (сейчас их устанавливает заказчик bug bounty).

В ходе дискуссии по поправкам, возникли различные мнения. Алексей Алборов, начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры, уточнил, что действующее уголовное законодательство применяется только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба. Он подчеркнул: «Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет». Это мнение разделяет и Константин Комарды из Следственного комитета, указывая на отсутствие практики привлечения к уголовной ответственности людей, законно тестирующих информационные системы: «Если человек заключает договор или у него есть заявка на тестирование от правообладателя информсистемы или сети, его действия не образуют состав преступления». По его словам, главный фактор для привлечения к ответственности — это наличие вины. Человек должен совершать преступление осознанно, для причинения негативных последствий — в этом случае образуется состав преступления, отметил он. СК пришел к выводу, что поправки в УК будут излишними, заявил Комарды. Позицию Генпрокуратуры и СК поддержал участник обсуждения от МВД.

Один из участников совещания выразил опасения, что в случае принятия поправок, хакеры со злым умыслом могут предъявлять договора на тестирование системы, чтобы оправдать свои действия, и доказать обратное будет достаточно сложно.

Минцифры поддерживает внесение поправок, ссылаясь на успешный опыт программ поиска уязвимостей, как в случае с порталом «Госуслуги». Участвовавший в совещании директор по продуктовому развитию «Солар секьюрити» Владимир Бенгина рассказал, что более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. «Если поправки будут внесены, и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», — отметил Бенгин.

Сами «белые» хакеры также поддерживают эти поправки. На заседании в Центре стратегических разработок, которое состоялось 12 ноября, «белый» хакер Марсель Дандамаев обозначил одну из ключевых проблем. По его словам, после обнаружения уязвимостей в программном обеспечении или системах, хакерам трудно сообщить об этом владельцам софта, поскольку как государственные, так и частные организации часто неохотно вступают в контакт с хакерами. Дандамаев подчеркнул, что многие компании не реагируют должным образом на сообщения о найденных уязвимостях: некоторые полностью устраняют уязвимости после получения информации, в то время как другие игнорируют проблемы до наступления серьезного инцидента.

Дандамаев предложил решение в виде создания специализированной платформы, которая бы облегчила взаимодействие между «белыми» хакерами и компаниями. Эта платформа должна будет проводить верификацию хакеров, определять их надежность и предоставлять возможность размещать сообщения об уязвимостях. Компании, в свою очередь, смогли бы связываться с хакерами для уточнения деталей или выражения благодарности.

Депутат Антон Немкин, один из авторов поправок, сообщил, что рабочая группа, включающая представителей Минцифры, ФСБ, МВД и ФСТЭК, продолжает обсуждение документа. Немкин рассчитывает на успешную доработку законопроекта, хотя признает, что на это уйдет не менее года. Он также считает важным обязать «белых» хакеров регистрироваться перед проведением тестирования, оставлять сообщение о своих намерениях и предоставлять свой IP-адрес, чтобы минимизировать риски и обеспечить прозрачность их действий.