Позволить компаниям легально нанимать кибервзломщиков, чтобы те искали бреши в защите их сервисов, а самих добросовестных тестировщиков избавить от риска получить штраф или сесть в тюрьму — такой пакет законопроектов разработали в Госдуме и обсуждают с Минцифры перед внесением. Привлечение белых хакеров позволит бороться с нарастающим числом киберпреступлений, но, привлекая таких специалистов, компаниям стоит все же перестраховаться — составить договор, предусматривающий все нюансы, и соглашение о неразглашении. Об этом рассказал «Парламентской газете» член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
Только для этичных и законопослушных
Белые хакеры — по сути, специалисты по кибербезопасности, которые тестируют защищенность компаний с их же разрешения. Таких добросовестных взломщиков еще называют пентестерами, от английского penetration testing — «тестирование на проникновение». По согласованию с заказчиком они атакуют значимые сегменты инфраструктуры, как это сделали бы реальные киберпреступники. После этого компания получает отчет о слабых местах в защите и может закрыть все бреши и уязвимости. Бизнес в этом заинтересован.
«Привлечение таких специалистов — стандартная практика», — отметил Антон Немкин. По его словам, чем больше информации государства и людей переходит в цифровой формат, тем больший интерес для преступников представляют IT-сервисы, из-за чего число киберинцидентов растет. «Именно с ними и помогают бороться этичные хакеры», — сказал депутат.
Но иногда такие белые хакеры сами рискуют попасть под следствие. «При проникновении в информационную систему они используют способы и инструменты, которые расходятся с отдельными положениями российского законодательства. Такие действия, даже если их исполняют с согласия обладателя информации и по его поручению, могут образовать состав преступления сразу по нескольким статьям Уголовного кодекса», — пояснил депутат. Речь идет о наказаниях за неправомерный доступ к компьютерной информации, использование вредоносных компьютерных программ и нарушение правил эксплуатации информационно-телекоммуникационных сетей.
Кроме того, для тестирования защищенности исполнителям надо получить разрешения от правообладателей каждой программы, входящей в состав информационной системы, добавил парламентарий. Если этого не сделать, белого хакера могут привлечь к ответственности за нарушение авторских прав. Ему могут предписать выплатить правообладателю компенсацию, вплоть до двукратной стоимости права использования программы. За нарушение может наступить и уголовная ответственность, если стоимость права больше 100 тысяч рублей. А с учетом того что программы стоят недешево, такой риск есть, сказал Немкин.
Для того чтобы дать добросовестным специалистам, знакомым с российским законодательством и этикой, спокойно работать, разработали и готовят к внесению в Госдуму пакет законопроектов на эту тему, отметил депутат. Это будут поправки в Уголовный и Гражданский кодексы, а также в Федеральный закон «Об информации, информационных технологиях и о защите информации», в нем хотят закрепить возможность операторов информсистем заниматься поиском их уязвимостей не только силами своих работников, но и сторонних специалистов. «При этом Правительство будет вправе устанавливать требования к порядку и условиям проведения таких мероприятий», — отметил Немкин.
Депутаты создали вместе с Минцифры рабочую группу, чтобы проанализировать инициативы и обсудить все возникающие вопросы.
Доверяй, но договор составляй
С поиском белых хакеров у компаний возникнуть сложностей не должно, считает Антон Немкин. Профессия довольно популярна, так что найти специалистов можно и на обычных сайтах вакансий вроде hh.ru, и на специализированных — HackerOne, Bugcrowd, Synack.
Другое дело, что нужно учесть все риски, компании следует аккуратно составить договор, чтобы хакер мог спокойно работать, а предприниматель не переживать, что тот может слить уязвимости или корпоративные данные в открытый доступ или конкурентам. «В частности, в договоре нужно четко прописать, какие способы тестирования может проводить хакер, обязаны ли присутствовать при проведении штатные сотрудники работодателя», — сказал Антон Немкин. Нелишним будет и подписать соглашение о неразглашении. Это снизит риск, что хакер передаст кому-либо секретные сведения.