ПоделитьсяМинцифры готово платить по миллиону за каждый взлом Госуслуг и другой инфраструктуры российского электронного правительства. А депутаты Госдумы предлагают разрешить государству и бизнесу вознаграждать хакеров за обнаружение уязвимостей. «Фонтанка» поговорила с одним из «честных взломщиков» и узнала, готовы ли багхантеры выйти из тени в правовое поле.
Минцифры объявило о запуске второго этапа Bug Bounty, или вознаграждении за поиск уязвимостей в IT-системах, в конце прошлой недели. Как говорится на сайте ведомства, за обнаружение «дыр» в Госуслугах, единой биометрической системе, национальной системе управления данными и еще ряде сервисов оно готово заплатить от 30 тыс. до 1 млн рублей, в зависимости от масштаба угрозы.
Во время первого этапа Bug Bounty, который проходил с февраля по май 2023 года, было выявлено и устранено 37 уязвимостей, а общая сумма вознаграждений составила 1,95 млн рублей, отмечают в Минцифры.
Параллельно российские власти обсуждают, как привлечь на службу добросовестных взломщиков уже на постоянной основе. Минцифры предлагало ввести в закон понятие Bug Bounty еще летом прошлого года, но идея не была реализована. Спустя год ускорить работу над легализацией «белых хакеров» призвал Совет по развитию цифровой экономики при Совете Федерации. На днях свой вариант пакета законопроектов предложил комитет по информполитике Госдумы — инициативу обсудили с самими взломщиками и компаниями, которые могли бы стать «заказчиками» таких услуг.
Кто такие «белые хакеры» и зачем их легализовывать?
«Белыми хакерами» называют специалистов в области кибербезопасности, которые тестируют ИТ-системы государства или компаний, атакуя их так, как это бы делали реальные киберпреступники. Отличие в том, что потом «белые хакеры» рассказывают о найденной дыре в безопасности самому владельцу системы, получая от него вознаграждение. То есть главное отличие не в методе, а в цели и этичности подхода. «Черный хакер» наносит вред, «белый» приносит пользу», — рассказал «Фонтанке» «белый хакер» Марсель, принявший участие в обсуждении законодательной инициативы. Сами специалисты также называют себя «багхантерами» («охотниками за ошибками» — англ.).
В отличие от обычных специалистов в области кибербезопасности, которых нанимает сама компания, «белые хакеры» действуют часто по собственному почину, что ставит их в уязвимое положение с точки зрения законодательства. Сейчас в УК РФ есть несколько статей, под которые может подпадать деятельность таких взломщиков, отмечал ранее зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. Например, за «неправомерный доступ к компьютерной информации» (272-я статья УК) грозит лишение свободы до пяти лет.
Некоторые компании и так привлекают «белых хакеров». Например, Mail.ru Group готова платить от $2000 до $4000 на нахождение уязвимости, отмечает Марсель. Но российские платформы, через которые можно сообщить о находках, берут большой процент. Для госструктур этот метод пока в новинку, хотя за рубежом это распространенная практика. Например, Минобороны США использует для этого глобальную платформу HackerOne. Но для российских багхантеров доступ к ней заблокировали, а причитающиеся им деньги «зависли», говорит Марсель.
Зато родной стране «белые» хакеры» сейчас нужны как никогда раньше, чтобы отбивать атаки «черных». Защита персональных данных граждан и доступа к ключевым государственным системам становится критичной «в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы», отметил депутат Госдумы Антон Немкин на обсуждении в Центре стратегических разработок 10 ноября.
В помощи «белых хакеров» заинтересованы и профессионалы в области кибербезопасности. «В последние два года Россия фактически находится в состоянии необъявленной кибервойны, когда хакеры-злоумышленники взламывают почти все, до чего они могут дотянуться. В этих условиях мы понимаем, что, выстраивая оборонительные редуты, мы должны реально их проверять с точки зрения кибербезопасности. Без «белых хакеров» сделать это невозможно», — отметил на той же встрече генеральный директор группы компаний Innostage Айдар Гузаиров.
Как депутаты предлагают легализовать «белых хакеров»?
По словам Антона Немкина, поправки предлагается внести в Уголовный и Гражданский кодексы, а также в ФЗ «Об информации, информационных технологиях и о защите информации». В последнем закрепят возможность обладателя информации, оператора информационной системы проводить мероприятия по выявлению «слабых мест», в том числе с привлечением лиц, не являющихся его работниками.
Поправки в УК исключат возможные риски привлечения к уголовной ответственности тех, кто тестирует защищенность информсистем в соответствии с требованиями Закона об информации. А поправки в ГК дадут возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ, либо лицом, действующим по его поручению, в целях выявления его уязвимостей для исправления явных ошибок.
Еще один вариант, который ранее обсуждался в Совете Федерации, — прописать новый вид деятельности по поиску уязвимостей в ПО за вознаграждение, а также создать реестр «белых хакеров» и лицензирование физлиц. Однако последнее может отпугнуть специалистов, поскольку не все из них готовы выходить из тени, отмечал Артем Шейкин. https://tass.ru/ekonomika/18145279
Готовы ли «белые хакеры» к работе в правовом поле?
«Я отношусь к легализации положительно: это даст возможность находить уязвимости более безопасно», — комментирует Марсель. Хотя нахождение слабого места не всегда равно взлому, иногда, чтобы наглядно показать некоторые факты, приходится «действовать на грани», добавляет он.
Компании, в чьих системах нашлись угрозы, не всегда реагируют положительно. Специалисту приходилось сталкиваться с угрозами возбудить уголовное дело, если он продолжит искать уязвимости. Но в последнее время позиция бизнеса изменилась. «Сейчас эта компания будет рада принимать информацию об уязвимости и не будет пугать судами», — рассказывает Марсель.
Чтобы обезопасить себя, «белые хакеры» нередко получают официальное разрешение компании на свою деятельность. С официальной оплатой работы тоже нет особых проблем — можно заключить договор ГПХ. Владелец системы, в свою очередь, просит подписать договор о неразглашении, часто с драконовскими условиями. «Служба безопасности не любит, чтобы раскрывали баги, тем более в нашей стране многие не готовы, ведь это означает потерю репутации», — говорит Марсель.
Изменения в законодательстве должны облегчить коммуникацию между госструктурами и багхантерами. «Например, сейчас не знаю, как найти владельцев тех или иных систем, или не знаю, что делать, если я нашел в каком-то государственном учреждении уязвимость, кому сообщать. Есть опасения, как к находке отнесутся», — рассказывает Марсель.
Лицензирование и создание реестра «белых хакеров», по мнению специалиста, может иметь как положительные, так и отрицательные последствия. «Многие хотят остаться в тени и не хотят входить через «Госуслуги», чтобы сообщать о найденных уязвимостях. Но если ты будешь лицензированным, это откроет больше возможностей, компания будет знать, с кем имеет дело, и будет больше доверия», — отметил он.
Галина Бояркова,
«Фонтанка.ру»
