На Западе обсуждается возможность проведения взломов устройств и систем в киберпространстве

Великобритания и Франция организовали международную конференцию, темой которой стал поиск решения проблем вокруг использования инструментов и сервисов для проникновений в информационные системы. В РФ к внесению в Госдуму готов уже второй законопроект по легализации работы «белых» хакеров.

В частности, на конференции была принята декларация, которая запускает «процесс Пэлл-Мэлл» (Pall Mall Process). Он должен установить основополагающие принципы и указать на варианты мер для государств, отрасли, гражданского общества в отношении разработки, содействия, покупки и использования «коммерчески доступных возможностей для кибервзлома».

Согласно декларации, опубликованной на портале, признаётся необходимость легитимной и ответственной разработки и применения таких возможностей. По итогам конференции её делегаты также определили, в каких случаях взламывать устройства безответственно. Например, подобные инструменты и сервисы не должны разрабатываться и использоваться так, чтобы представлять угрозу стабильности киберпространства, правам человека и фундаментальным свободам, а также применяться без надлежащих защитных механизмов и надзора.

Связанная со взломом устройств и систем деятельность должна проводиться законно и ответственно, в соответствии с международным законодательством, нормативной базой государств, а также со стандартами для ответственного поведения государств в киберпространстве, отмечается в декларации.

В России сегодня идет активная работа над трансформацией действующего законодательства с целью предоставления большей свободы «белым» хакерам — специалистам, которые могут провести взлом той или иной информационной системы с целью выявления ее уязвимостей и их устранения. Ранее в Госдуму РФ был внесен первый из пакета законопроектов, направленных на легализацию деятельности «белых» хакеров в России. В частности, предлагается внести ряд поправок в статью 1280 части четвертой Гражданского кодекса РФ. Необходимость таких законодательных изменений объясняется просто, отмечает один из авторов законопроекта, член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «Сегодня для проведения тестирования защищенности систем российских компаний „белым“ хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав, и „белых“ хакеров могут обязать выплатить компенсации в размере до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы. Исходя из этого нашим законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ теми, кто правомерно владеет экземпляром программы или базы данных для выявления уязвимостей и исправления явных ошибок», — пояснил он.

Согласно законопроекту, «белые» хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, а вот передавать эту информацию третьим лицам запрещено. Таким образом, принятие законопроекта позволит проводить анализ уязвимостей без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов. Это даст этичным хакерам больше свободы для того, чтобы работать на благо страны, уверен Антон Немкин.

«Сегодня государственным органам и корпорациям, которые зачастую и сами имеют собственный штат квалифицированных ИT-специалистов, важно систематически привлекать „белых“ хакеров как независимых профессионалов, которые со своей стороны проверят безопасность информационных систем и либо убедятся в их надежности, либо выявят уязвимости и дадут рекомендации по их устранению. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам — в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы», — заключил он.

Сейчас к внесению также готовится законопроект, который предлагает внесение поправок в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации» для закрепления механизма проведения тестирования защищенности информационных систем при помощи «белых» хакеров.

Поправками предлагается на законодательном уровне закрепить возможность обладателя информации, оператора информационной системы в порядке и на условиях, определяемых им, привлекать «белых» хакеров для выявления уязвимостей информационной системы. При этом проводиться такие испытания могут как в форме тестирования на проникновение, при котором заказчик поручает определенному исполнителю отработать различные сценарии проникновения в систему и показать практическую возможность реализации в ней угроз, так и в форме программы «Bug Bounty», в которой заказчик предлагает провести такую работу неопределенному кругу лиц.

Российские компании также уделяют все больше внимания работе «белых» хакеров. Например, «Яндекс» уже расширяет программу по поиску уязвимостей «Охота за ошибками» — «белым хакерам» предлагают проверить на баги «Станцию Дуо Макс», «Станцию Миди» и «ТВ Станции». При этом повышена максимальная сумма вознаграждений за найденные уязвимости в умных устройствах — до миллиона рублей с 600 тысяч. Сумма выплаты зависит от критичности ошибки. Кроме этого, «Яндекс» увеличил вознаграждение за найденные уязвимости в других устройствах, например в «Станции Мини» с часами или «Станции Макс».

Компания Positive Technologies также сообщила, что заплатит 60 миллионов рублей «белым» хакерам в рамках программы по поиску уязвимостей в своей системе защиты — вознаграждение полагается тому, кто первый сможет внедрить условно вредоносный код в ее продукты. Если хакер выполнит один или несколько шагов до потенциальной реализации недопустимого события, ему тоже выплатят вознаграждение.

Источник: Пресс-служба депутата ГосДумы РФ Антона Немкина

( )