Как проверить свою систему на безопасность и не получить за это срок?

Любой бизнес в своей деятельности ежедневно использует различные сервисы и платформы (электронную почту, 1С, систему ЭДО, различные базы данных и т.д.). Взломы таких систем неизбежно влекут негативные последствия, включая разглашение конфиденциальной информации, сбои в системе коммуникаций между сотрудниками, клиентами и контрагентами, репутационные потери и многое другое. Регулярное проведение анализа защищенности таких платформ (называемом специалистами пентест, тестирование на проникновение) призвано предотвратить такие риски. Пентестеры в своей работе используют специальные компьютерные программы, механизм действия которых схож с алгоритмом действий хакеров при взломе объекта. За неправомерное применение такого ПО можно получить реальный срок. Как организовать этот процесс правильно и не иметь проблем с законом, ниже расскажет Евгений Царев, управляющий RTM Group.

Анализ на безопасность и законодательство

В отличие от воздействия злоумышленников, результат тестирования на проникновение может быть весьма полезным: выявленные недостатки (к примеру, ненадежные пароли) можно исправить и предотвратить угрозу реального взлома. Однако существует проблема: такая деятельность не урегулирована законодательством, а сами методы тестирования подпадают под статью 273 УК РФ (нейтрализация средств защиты электронных ресурсов).

Всё дело в том, что статья 273 УК РФ сформулирована таким образом, что любое воздействие на систему защиты может быть признано преступлением. Судебная практика показывает, что попытка проверить сайт или другой ресурс на наличие слабых мест может закончиться уголовным делом.

Основные инструменты пентестеров - программы, в автоматическом режиме выявляющие дефекты систем защиты (сканеры и средства для перебора паролей). Даже если такое ПО используется с благими целями, оно подпадает под действие статьи 273 УК РФ как воздействующее на средства защиты.

Многие дела по статье 273 УК РФ прекращаются на стадии досудебного производства. До рассмотрения суда доходят единицы: к примеру, в первом полугодии 2021 года вынесено 11 приговоров. Тем не менее, риск привлечения к уголовной ответственности при проведении тестирования сохраняется. Особенно опасно «попадание» на объекты КИИ во время проведения пентеста: за нарушение в данной сфере предусмотрена отдельная ответственность по статье 274.1 УК РФ.

Приведем примеры из судебной практики, когда лица были привлечены к уголовной ответственности по статье 273 УК РФ:

Пример №1. Приговор Фрунзенского районного суда города Владимира от 29 октября 2021 г. по делу N 1-23/2021 (разработка приложения для пентеста):

Программисту поручили разработать приложение для пентеста, которое планировалось использовать для оказания услуг клиентам. Суд не принял аргументы стороны защиты о правомерных целях приложения и признал лицо преступником.

Пример №2. Приговор Смоленского районного суда (Смоленская область) от 02 июня 2021 г. по делу № 1-106/2021 (использование приложения для поиска уязвимостей Интернет-ресурсов):

Пользователь Интернета загрузил себе на рабочий стол и запустил достаточно известный сканер «Nesca», который находится в открытом доступе. Суд посчитал, что такая программа через поиск уязвимостей ресурсов воздействует на средства защиты. Сам факт использования сканера является преступным, даже если никакие негативные последствия не наступили. 

Пример №3. Приговор Павловского районного суда (Воронежская область) № 1-40/2020 от 25 ноября 2020 г. по делу № 1-40/2020 (использование сканера сети):

Работник организации использовал программу-сканер для проверки компьютерной сети организации. В суде он утверждал, что программа не является вредоносной, так как находится в открытом доступе и не заблокирована Роскомнадзором. Более того, антивирус не признает программу вредоносной. 

Экспертиза же пришла к обратному выводу. Было установлено, что программа предназначена для подбора паролей к компьютерным системам, а это является обходом их защиты. Вывод: такое ПО суд считает вредоносным, хотя антивирус и не определяет его таковым.

Таким образом, потенциально любое приложение, способное воздействовать на средства защиты, находится вне закона. Не имеет значения, наносит ли приложение прямой вред ресурсу, используется ли оно в целях выявления и исправления слабых мест защиты. Более того, ответственность наступает вне зависимости от того, кто именно создал или использовал такие программы – профессионал-пентестер, работник специализированной организации или простой пользователь интернета.

Важно знать о рисках использования таких приложений и о вариантах их предотвращения.

Риски проверок информационной безопасности

Такие проверки могут попасть не только под статью 273 УК РФ, что было рассмотрено ранее, но и под несколько других статей о компьютерных преступлениях (глава 28 УК РФ):

• Статья 272 УК РФ (неправомерный доступ к компьютерной информации) - если не получено согласие на проведение пентеста или неправильно определены границы и предмет исследования;
• Статья 273 УК РФ (создание и использование ПО, нейтрализующего средства защиты) - если использовано несертифицированное ПО или создано свое;
• Статья 274.1 УК РФ (то же самое, что и в статьях 272 и 273 УК РФ, но в отношении объектов КИИ) - к примеру, если программа-сканер «попала» на ресурс организации, являющейся частью критической информационной инфраструктуры РФ (сайты госорганов, медицинских организаций, операторов связи).

Уголовная ответственность по данным статьям может быть серьезной: максимальный срок лишения свободы по статье 272 УК РФ достигает 5 лет, по статье 273 УК РФ – 7 лет, а по статье 274.1 УК РФ – 10 лет. За первый случай нарушения суд обычно если и назначает лишение свободы, то условное. Чаще всего наказанием выступает ограничение свободы (обязанность не выезжать из муниципального образования, не покидать дом в ночное время и т.д.) или штраф (до 1 млн рублей по статье 274.1 УК РФ).

Пробелы в законодательстве и судебная практика могут напугать тех, кому нужно провести проверки защищенности систем. Однако ситуация не так безнадежна, как может показаться с первого взгляда. Пентест может и должен быть правомерным и безопасным для всех участников. Для этого необходимо предпринять меры по правильному оформлению и проведению тестирования.

Как провести пентест и не получить за это срок: правовые советы специалистов

Сам факт создания или использования программ для проверок уязвимостей может быть признан незаконным и повлечь уголовную ответственность. Лучше делегировать задачу проверки ресурсов профессионалам, занимающимся информационной безопасностью. Правильно составленный договор помогает наиболее эффективно достигать целей тестирования, обезопасив обе стороны.

Для этого следует:

1. Проверить у потенциального исполнителя наличие лицензии на осуществление деятельности по технической защите конфиденциальной информации
2. Документально оформить порядок и рамки проведения пентеста

Для этого:

А) Заключить договор оказания услуг/выполнения работ на проведение тестирования на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

В нем подробно прописать техническое задание на пентест, изложив:

• перечень тестируемых ресурсов, в отношении которых будут смоделированы действия злоумышленника;
• время проведения тестирования на проникновение;
• предупреждение заказчика о рисках, связанных с проведением работ (например, возможность прерывания работы ресурса или непреднамеренный доступ к конфиденциальной информации);
• ответственность сторон;
• методику тестирования (внешнее, внутреннее тестирование и т.д.).

Б) Заключить соглашение о конфиденциальности (NDA)

Прописать в нем перечень информации, который может быть передан исполнителю (пентестеру), порядок ее получения, а также способы защиты конфиденциальной информации.

Резюме

Поскольку регулярная проверка сервисов, платформ и приложений на безопасность – необходимое правило цифровой «гигиены» сегодня, вопрос о том, нужно ли это делать, даже не стоит. Однако, осуществляя такие действия, компаниям важно самим не перейти грань, определенную законом. Важно помнить, что самостоятельное использование инструментов для проведения тестирования на защищенность грозит уголовной ответственностью. И доверять данную задачу необходимо профессионалам из сферы ИБ, официально оформляя договоренности.