Этичный хакинг в России: будет ли переход в правовую плоскость

В последнее время в мире все больше внимания уделяется кибербезопасности и защите данных. В России также поднимается вопрос о законе об этичном хакинге, который регулировал бы деятельность специалистов, занимающихся поиском уязвимостей в информационных системах. Но какой будет этот закон и когда его можно ожидать?

Что такое этичный хакинг и зачем он нужен

Этичный хакинг — это поиск уязвимостей в системе или программном обеспечении заказчика с целью улучшения безопасности. Этот вид хакинга важен, так как позволяет предотвращать потенциальные кибератаки, проверять компьютерные системы на прочность и готовность к атакам, обучать сотрудников кибербезопасности.

Этичные хакеры могут найти уязвимости до того, как они будут использованы киберпреступниками, что помогает улучшить безопасность системы и предотвратить утечку данных. Но с точки зрения закона между белыми хакерами и киберпреступниками нет никакой разницы.

Константин Родин

Руководитель отдела по развитию продуктов компании «АйТи Бастион»

У нас в отрасли есть опыт использования пентестов и баг баунти-программ, направленных на то, чтобы помочь бизнесу найти уязвимости в их информационных сетях и исследовать софт на наличие ошибок силами профессионалов — «белых» хакеров. Но нет юридически закрепленной базы, опираясь на которую они могут действовать.

Любой исследователь сейчас находится в подвешенном состоянии с точки зрения закона. Его действия и ПО, которое он использует на текущий момент, легко может быть классифицировано по нескольким статьям УК РФ. С одной стороны, мы хотим, чтобы у нас все было прекрасно и безопасно, чтобы мы проверяли свои системы и софт на возможности обхода и баги. Но, с другой стороны, у нас нет четко и предметно сформулированных критериев, по которым это можно делать. Я считаю, что, если подобный закон появится, это подстегнет рынок пентестов и баг баунти-сервисы, а также в целом очень положительно повлияет на отрасль.

Возможно, нашим законодателям стоит изучить опыт коллег из тех стран, где уже легализовали и ввели четкие определения: кто есть «белый» хакер, что такое «этичный хакинг» и т. д. Ведь анализ и тестирование в информационных системах — действительно необходимый процесс, помогающий их совершенствовать. Однако здесь важно не забывать о вопросе легитимности всех подобных действий и «чистом» правовом статусе их исполнителей.

Можно сказать однозначно: пока мы не введем в правовое поле понятие «этичный хакер» и четко не определим для него границы дозволенного, обеспечивать кибербезопасность инфраструктуры страны и бизнеса проще не станет, а рынок подобных услуг так и останется наполовину в тени.

На данный момент в России нет конкретных законодательных инициатив, регулирующих этичный хакинг. Однако существуют некоторые законы и нормативные акты, которые могут охватывать аспекты этичного хакинга.

Например, статья 272 УК РФ устанавливает уголовную ответственность за доступ к компьютерной информации без согласия владельца. Также существуют законы о защите персональных данных и информационной безопасности, которые могут быть применены к ситуациям, связанным с хакингом.

Актуальность вопроса в России

Вопрос кибербезопасности весьма актуален для сегодняшней России. Ведь с каждым годом количество кибератак на государственные и частные организации, а также на граждан, увеличивается. Это создает угрозу для конфиденциальности данных, стабильности работы информационных систем и финансовой безопасности.

В последние годы правительство и частные компании активно работают над укреплением киберзащиты и реагируют на угрозы. Однако профилактика и борьба с киберугрозами требуют постоянного обновления и усовершенствования методов защиты. В связи с этим, вопрос кибербезопасности остается приоритетным для всех участников информационно-коммуникационной среды в России и требует постоянного внимания и ресурсов для эффективной защиты от киберпреступников.

Дмитрий Хомутов

Директор компании Ideco

Закон об этичных хакерах в России востребован как никогда. Только за 2023 год в открытый доступ попало свыше 300 миллионов учетных записей в результате взломов систем безопасности компаний хакерами. Естественно, за подобные махинации предусмотрена уголовная ответственность. Однако легализация деятельности «этичных хакеров» обезопасит их от попадания под статью 272 УК РФ, предусматривающую ответственность за неправомерный доступ к охраняемой законом компьютерной информации.

Нельзя отрицать, что злоумышленники могут притворяться «этичными хакерами», чтобы получить выгоду и избежать ответственности. Однако мировая практика показывает, что на законодательном уровне регламентировать их работу выгодно как для искателей «пробелов» в системе организаций, так и для самих предприятий для устранения появившихся уязвимостей. Поэтому подобный закон в России необходим.

Все, кто причастен к сфере ИБ, с нетерпением ждут разработки специальных законов или нормативных актов, которые будут регулировать деятельность этичных хакеров и устанавливать правила и стандарты для проведения таких действий в рамках закона.

Ожидаемые изменения и последствия принятия закона

Как у всего в этом мире, у закона об этичных хакерах, могут быть две стороны медали — положительные и отрицательные последствия. К плюсам можно отнести следующее:

1. Развитие культуры кибербезопасности — закон может способствовать повышению осведомленности о киберугрозах среди компаний и граждан, а также стимулировать внедрение мер по защите от кибератак.
2. Повышение уровня защиты информационных систем — этичные хакеры могут помочь выявить уязвимости в информационных системах и устранить до того, как злоумышленники воспользуются ими.
3. Рост профессионализма в сфере кибербезопасности — создание законодательной базы для работы этичных хакеров будет способствовать развитию профессии в России и привлечению талантливых специалистов в эту область.
4. Улучшение репутации России в международном сообществе — принятие закона об этичных хакерах может позитивно повлиять на репутацию страны в глазах мирового сообщества, показав ее готовность бороться с киберугрозами.

Но эксперты считают, что и минусов от введения подобного закона будет немало.

Зарема Шихметова

Специалист по анализу защищенности компании «Газинформсервис»

В негативные последствия можно отнести следующие:

1. Недостаточное регулирование. Некорректное применение статуса этичного хакера или его злоупотребление может привести к нарушениям безопасности и утечке конфиденциальной информации.
2. Отсутствие единого стандарта. В разных странах могут быть разные подходы к определению и регулированию статуса этичного хакера, что может создавать путаницу и неоднозначность.
3. Риск недобросовестных действий. Некоторые лица могут злоупотреблять статусом этичного хакера для осуществления незаконной деятельности под прикрытием легальности.
4. Большинство людей сталкиваются с основной проблемой — определение правильного понимания юридических и этических аспектов в данной сфере.

Таким образом, принятие закона об этичных хакерах может иметь положительные последствия для кибербезопасности и информационной безопасности в России, но требует внимательного регулирования и контроля со стороны государства.

Прогнозы о сроках принятия закона: ждать или не ждать

В настоящее время сложно точно предсказать, когда именно такой закон будет принят. Недавно в СМИ появилось несколько публикаций, рассказывающих о проекте закона. Но в Минцифры отрицают продвижение подобных инициатив. В чем же причина пробуксовки решения о, казалось бы, таком важном вопросе?

Кай Михайлов

Руководитель направления информационной безопасности iTPROTECT

Следует понимать, что проекты законов направлены не на составление «портрета» энтузиаста с добрыми намерениями, который будет тестировать ресурсы организаций в меру своих сил и указывать на ошибки. Они направлены на то, чтобы призвать компании с КИИ тестировать безопасность с помощью участия в проектах Bug Bounty. Энтузиасты-одиночки, которые не согласуют предварительно свою активность с компанией-участницей, по-прежнему останутся вне закона. Активности, связанные с bug bounty или, например, внешним тестированием на проникновение, уже давно отработаны как государственными компаниями, так и коммерческими предприятиями, однако в законодательстве о КИИ не было прописано конкретно, что этому нужно уделять внимание, в отличие от предприятий той же банковской сферы. Получается, что организации, первоочередной целью которых зачастую становится выполнение требований регуляторов, уделяют таким активностям ресурсы по остаточному принципу. Таким образом, законодательство связывает в единую цепочку требования (субъекты КИИ в определенных обстоятельствах должны будут привлекать сторонние компании к тестированию инфраструктуры) и общепринятую практику по такому тестированию. 

В законодательстве нет особой необходимости четко прописывать требования, образ и поведение «белых хакеров». Обычно такие требования прописываются в рамках технического задания на пентест, либо уже подготовлены на площадках Bug Bounty. Федеральный закон — не лучшее место для подробных мелких деталей, так как каждая инфраструктура по-своему уникальна и требования к пентестерам могут различаться. Лучшим вариантом будет описать в законе требования к организациям участвовать в программах поиска уязвимостей, а сами требования к этому процессу определять на местах.

Однако учитывая растущую угрозу кибератак и необходимость укрепления кибербезопасности, можно ожидать, что власти будут стремиться к принятию закона об этичных хакерах в ближайшем будущем. Возможно, вопрос будет актуализирован после серьезных кибератак или инцидентов, которые покажут необходимость принятия соответствующих мер.

Таким образом, принятие закона об этичных хакерах в России — это вопрос времени и политической воли. А мы будем следить за развитием событий и общественными дебатами по этому вопросу.