Лука Сафонов, Weblock (группа компаний «Гарда»): В случае возникновения сложностей исследователь безопасности может полагаться только на себя, качественный договор и платформу

Этичный хакинг становится популярным – увеличивается количество учеников на профильных курсах, появляются новые багбаунти-программы, в том числе связанные с ГИСами. В то же время, статус «белого хакера» никак не закреплен законодательно, а вся нормативная база – это договор между компанией и исследователем.

Лука Сафонов, технический директор компании Weblock (входит в группу компаний «Гарда»), рассказал порталу Cyber Media о проблемах и сложностях, с которыми может столкнуться исследователь безопасности при поиске уязвимостей.

Cyber Media: С определенной регулярностью в публичном доступе появляются кейсы, когда исследователь нашел уязвимость у той или иной компании, но не смог «сдать» ее, и был вынужден «опубличить». Последствия бывают самые разные – от благодарности до обвинений в злом умысле. Как быть исследователю во втором случае?

Лука Сафонов: Второй случай, когда исследователь сталкивается с обвинениями в злом умысле после публикации уязвимости, может быть очень неприятным. В такой ситуации исследователь может предпринять следующие шаги:

1. Поиск поддержки сообщества. Обращение к сообществу и соответствующим ассоциациям для поддержки и получения рекомендаций по дальнейшим шагам.
2. Юридическая консультация. При необходимости исследователь может обратиться к специалистам по юридическим вопросам, чтобы защитить свои интересы.

Но, как правило, публичное раскрытие уязвимости без согласования второй стороны строго порицается (по крайней мере в России). На Западе существует практика ответственного раскрытия уязвимости, предполагающая 90-дневное «молчание» нашедшего баг, чтобы дать возможность устранить уязвимость, но и эта модель не всеми и не ко всему применима.

Cyber Media: Применительно к российской практике, что такое политика ответственного разглашения и как она работает?

Лука Сафонов: В российской практике политика ответственного разглашения (или модель «белого хакерства») представляет собой способ сотрудничества между исследователями безопасности и компаниями с целью улучшения безопасности информационных систем. Как правило, это касается пентестов/консалтинга или багбаунти и строго регламентировано договором или правилами (в виде акцептованной оферты.)

Cyber Media: Как часто багхантеры сталкиваются с тем, что компания отказывает в выплате по причине того, что уязвимость находится вне скоупа? Что делать в таких ситуациях багхантеру и какое поведение компании Вы считаете оптимальным?

Лука Сафонов: Если в правилах указано, что выплаты за уязвимости вне скоупа/third party не оплачиваются – они и не должны оплачиваться. Хотя зачастую компании наоборот принимают критические баги вне скопа и благодарят (в том числе и финансово) багхантера.

Cyber Media: Если исследователь каким-то образом нашел значимую уязвимость, но у компании нет багбаунти и она не отвечает по публичным контактам – какой путь Вы считаете оптимальным?

Лука Сафонов: Оптимальный путь поискать контакты команды безопасности или разработки, например, по пути /security.txt. Все больше компаний используют эту возможность, чтобы дать исследователю найти контакт: https://securitytxt.org/ Например, это есть на Госуслугах: gosuslugi.ru/security.txt или портале ДИТ Москвы – mos.ru/security.txt. Если ресурс социально значимый, а контакты не найдены – напишите на info@bdu.fstec.ru, коллеги из БДУ ФСТЭК охотно помогут найти «хозяина» уязвимого сервиса.

Cyber Media: Если говорить о нормативной базе, насколько защищен исследователь безопасности? В связи с растущим интересом к ИБ, и к этичному хакингу в частности, нужны ли какие-то изменения в регуляторике?

Практически ничем не защищен, законопроект о защите, например, «белых хакеров» обсуждается уже больше полутора лет и пока никак не принят.

Cyber Media: Если говорить о других странах, можете ли вы привести примеры стран, где статус «белого хакера» закреплен законодательно и сам закон действительно защищает специалиста в спорных ситуациях?

Лука Сафонов: Да, например, в США. В закон о компьютерном мошенничестве и злоупотреблениях внесли ряд изменений. Основные из них: «Исследование безопасности» – доступ к компьютеру только ради тестирования, исследования и исправления недостатка безопасности или уязвимости при условии отсутствия любого вреда для отдельных физических лиц или общества в целом, и когда полученная таким образом информация используется в целях повышения безопасности класса устройств, машин, онлайн-сервисов.

Cyber Media: Насколько вообще нужно законодательное закрепление статуса «белого хакера»?

Лука Сафонов: Это необходимо для действий в правовом поле, к сожалению, сейчас багхантеры слабо защищены (если не представлены юрлицом, к примеру). Также отсутствие гарантий правомочности действий накладывет отпечаток на работу багхантера – он просто не захочет браться за работу, связанную с госресурсами.

Cyber Media: Почему, на Ваш взгляд, этот законопроект встречает сопротивление со стороны ряда российских регуляторов?

Лука Сафонов: В слабом понимании парадигмы багбаунти, на их взгляд, это «развяжет руки» преступникам и может помочь избежать наказания за правонарушения.

Cyber Media: В ходе пентеста и редтим-проектов специалиста защищает договор. Можно ли говорить о том, что багбаунти-платформа обеспечивает тот же уровень защиты исследователя, если он придерживается оговоренных правил, скоупа и тд?

Лука Сафонов: Думаю, любая платформа заинтересована в честной и независимой оценке действий холдера или багхантера и может выступить в роли арбитра в спорных ситуациях, в том числе, приняв ту или иную сторону в качестве правой.