16 октября Госдума приняла в первом чтении законопроект, который в случае принятия позволит так называемым «белым хакерам» изучать в целях поиска уязвимостей коды программ и базы данных. Причем не спрашивая на это разрешения у их авторов. Раньше такая деятельность попадала под УК. Кто такие «белые хакеры» и зачем России нужно их легализовать — рассказал «Ямал-Медиа» Андрей Масалович, IT-специалист по информационной безопасности, OSINT и конкурентной разведки.
Понятие «белый хакер» — совершенно виртуальное, пояснил Андрей Масалович. Это обычный хакер, но перешедший на сторону «светлых сил». Существуют хакеры «черные», которых называют «black hats» — «черные шляпы». Их задача — что-либо сломать или добраться до чужой информации. Они либо враги тех, кого взламывают, либо мошенники, либо представители кибервойск другой страны.
А хакер, который хочет поработать на благо своей страны или просто помочь другим — становится «белым». Часто такие люди ведут семинары по кибербезопасности, пишут статьи и книги о системах защиты и взлома, помогают находить уязвимости в софте.
Сделать юридически значимым понятие «белый хакер» очень трудно, отметил эксперт, поэтому достаточно давно было введено понятие пентеста — теста на проникновение. Компания или организация сама заказывает атаки на свою информационную систему, чтобы выявить уязвимые точки. Такой метод давно опробован, регламентирован и детально описан. Но при всей кажущейся простоте это невероятно сложно, потому что существует огромное количество нормативных документов, регламентирующих, что во время пентеста делать можно, чего нельзя, кого необходимо ставить в известность, а кого не нужно.
Фото: kai keisuke/Shutterstock/ФОТОДОМ
То есть хакер заранее описывает план атаки, указывает, что и как именно он будет взламывать. Из-за этого пентесты получаются долгими, дорогими и сложными, поэтому их делают только самые крупные фирмы. Причем обычно их заказывают, когда без них совсем не обойтись, например, если это требуется для какой-нибудь сертификации.
Поэтому появилась более простая и мягкая форма пентеста — bug bounty (охота на баги): чтобы ее провести, компания объявляет денежную награду за найденные уязвимости или ошибки. Проблема в том, что в данном случае обязательно нужна инициатива со стороны заказчика. Потому что если хакер видит дыру в безопасности системы, а компания, которой она принадлежит, искать ее не просила — у него могут быть проблемы. Не раз случалось, что у указавших на уязвимость возникали сложности с законом, хотя действовали они из лучших побуждений. Особенно часто так бывает, когда компания с дырой в защите относится к сфере критической информационной инфраструктуры.
«А с какой целью ты интересовался, почему туда полез? А может, это ты нам все и поломал?»Андрей Масаловичроссийский учёный, преподаватель, подполковник спецслужб в отставке, IT-специалист по информационной безопасности, OSINT и конкурентной разведке
Команды хакеров, которые сами взламывают системы, а потом обращаются к атакованному с предложением показать выявленные уязвимости и залатать все «дыры», называются «red teams» — «красные бригады». Новое законодательство направлено на то, чтобы их легализовать, подчеркнул Андрей Масалович.
Фото: Parilov/Shutterstock/ФОТОДОМ
Но это лишь половина проблемы, которую хотят решить с помощью закона. Другие IT-специалисты, которые теперь смогут работать в правовом поле — хакеры-одиночки. Они могут выступать в качестве кибервоинов, то есть искать уязвимости в информационных системах противника или организаций недружественных стран.
Такие люди стране очень нужны, но держать в штате подобных специалистов очень затруднительно даже военным, не говоря о других госструктурах. Потому что хакеры — ребята неуправляемые.
Вот для этого и нужны механизмы так называемого государственно-частного партнерства. В Соединенных Штатах они хорошо проработаны уже много лет назад: о том, как частные фирмы взаимодействуют с государством, написаны целые книги, а работают с правительством и другими госструктурами огромное количество людей. И все они находятся либо «на свету», либо в серой зоне — но не в черной, то есть за нарушение закона их не прессуют. Кому-то из них выплачивают авансы, кому-то не выплачивают, но все знают, что выполнив работу, они получат деньги. А в России до последнего времени в законодательстве в этой части была огромная лакуна, отметил Андрей Масалович.
Теперь «белых хакеров» будут нанимать специальные независимые платформы, к которым будут обращаться структуры, желающие проверить свои информационные системы на наличие уязвимостей. А для того, чтобы стимулировать предприятия и организации не затягивать с аудитом своей безопасности, их начнут штрафовать, если они его не проведут и будут стоять беззащитными перед атаками хакеров «черных».
Эксперт также напомнил, что любое новое законодательство — сырое, насколько успешно оно будет работать, определяется нормативкой, то есть подзаконной базой, которую будут еще внедрять, и правоприменением.
Самые актуальные новости — в нашем телеграм-канале «Ямал-Медиа».