Российские силовые структуры единым фронтом выпустили против легализации в стране так называемых «белых» хакеров, пишет РБК. Так называют специалистов по взлому, которые применяют свои навыки во благо и по заказу разработчиков – они занимаются поиском уязвимостей в их ПО и сервисах, чтобы те могли заранее устранить их. Делается это для того, чтобы их не нашли и не проэксплуатировали обычные хакеры. На работе «белых» хакеров во всем мире строятся программы Bug Bounty – такие есть у очень многих крупных компаний, они платят «белым» хакерам за поиск уязвимостей. Подобным, к примеру, официально занимаются Microsoft и Amazon. Общепринятый символ движения «белых» хакеров – белая шляпа.
Также существуют целые агрегаторы программ Bug Bounty, чтобы заказчикам и исполнителям было проще находить друг друга. Самая известная – это HackerOne, которая после 24 февраля 2022 г. не очень хорошо относится к российским специалистам.
Против легализации «белых» хакеров совместно выступают Министерство внутренних дел и Генпрокуратура России, а также Следственный комитет. Все они утверждают, что никакие поправки в УК РФ, которые могли бы легализовать этичных хакеров, вносить не нужно.
О таком отношении силовиков к «белым» хакерам, по данным РБК, стало известно во время обсуждения этих поправок в Госдуме 28 ноября 2023 г.
Фактически, силовики выступили против инициативы Минцифры – ведомство еще весной 2022 г. начало продвигать идею легализации таких специалистов. В марте 2022 г. оно выступило с идеей по финансовой поддержке этичных хакеров, а в июле 2022 г. от него поступило предложение по их легализации.
Дальше – больше. В январе 2023 г. стало известно о планах Минцифры по запуску программы Bug Bounty для поиска уязвимостей государственных информационных систем силами «белых» хакеров. Но первые знаки, указывающие на то, что реализовать идею с легализацией этичных хакеров в России будет непросто, появились еще в марте 2023 г. Как сообщал CNews, свое мнение «против» высказали ФСБ и ФСТЭК Ро).
В ноябре 2023 г. CNews писал, что Минцифры заплатит до 1 млн руб. «белым» хакерам за взлом «Госуслуг». Ведомство планирует до конца 2023 г. запустить годовую программу тестирования «Госуслуг» и еще девяти информационных сервисов «белыми» хакерами.
В настоящее время деятельность этичных хакеров как таковая российским законом не регулируется. Однако к ним вполне может быть применена ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»), которая подразумевает до семи лет лишения свободы. CNews писал, что «белые» хакеры не особо хотят работать в России, опасаясь уголовного преследования по этой статье.
Как пишет РБК, силовые структуры, протестующие против идеи легализации этичных хакеров, приводят одинаковые доводы. Так, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета Константин Комарды утверждает, что в России действительно есть законодательная возможность привлечь «белых» хакеров к ответственности, например, за тестирование той или иной информсистемы по заказу ее владельца. Но, он подчеркнул, что «на практике этого никто не делает». «Если человек заключает договор, или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления», – добавил он.
Комарды утверждает, что основной фактор для привлечения «белого» хакера к ответственности — это наличие за ним вины. По его словам, хакер должен идти на преступление осознанно, в стремлении причинить вред – только в этом случае будет иметь место состав преступления. «Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними», – подытожил он.
Стоит отметить, что сотрудничество с хакерами далеко не всегда идет на пользу корпорациям. В конце ноября 2021 г. CNews освещал ситуацию, в которой оказалась Microsoft. Обидевшийся на нее «белый» хакер опубликовал секрет превращения любого пользователя Windows в администратора. По его мнению, корпорация существенно недоплатила ему в рамках программы поиска ошибок в продуктах экосистемы Windows. С ним солидарны многие его «коллеги».
«Белые» хакеры приносят ощутимую пользу государству, несмотря на то, что над ними висит угроза скоротать год-другой в местах не столь отдаленных или получить условный срок и отметку о судимости. Например, в мае 2023 г. Минцифры отчиталось, что силами таких специалистов в ходе официальной программы Bug Bounty на портале госуслуг было выявлено свыше 30 уязвимостей различного уровня опасности.
Но «белые» хакеры могли бы работать намного эффективнее, если бы их деятельность в России получила статус легальной. Как сообщил изданию директор по продуктовому развитию «Солар секьюрити» Владимир Бенгин (он тоже присутствовал на обсуждении поправок), свыше половины всех ныне действующих российских этичных хакеров избегают выхода в легальное поле. Причина банальна – им ни к чему привлечение к уголовной ответственности. «Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены, и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», – сказал Бенгин.
Источник: https://safe.cnews.ru/news/top/2023-11-29_legalizatsiya_belyh_hakerov
Понравилась позиция силовиков: уголовная статья за хакерство есть, но мы ее не применяем.
А вообще кто такие белые хакеры сейчас с точки зрения закона и профессии? Это самозанятые, индивидуальные предприниматели, фрилансеры? Анализ защищенности ИС — это лицензируемый вид деятельности. Хочешь заниматься — регистрируй ООО или ИП, получай лицензию и легально работай.