На Западе обсуждают возможности проведения взломов устройств и систем в киберпространстве. Великобритания и Франция организовали международную конференцию, темой которой стал поиск решения проблем вокруг использования инструментов и сервисов для проникновений в информационные системы. В России к внесению в Госдуму готов второй законопроект по легализации работы «белых» хакеров.
Доступные возможности
На конференции была принята декларация, которая запускает «процесс Пэлл-Мэлл» (Pall Mall Process). Ожидается, что он должен установить основополагающие принципы и указать на варианты мер для государств, отрасли, гражданского общества в отношении разработки, содействия, покупки и использования «коммерчески доступных возможностей для кибервзлома».
Согласно декларации, опубликованной на портале, признаётся необходимость легитимной и ответственной разработки и применения таких возможностей. По итогам конференции её делегаты также определили, в каких случаях взламывать устройства безответственно. Например, подобные инструменты и сервисы не должны разрабатываться и использоваться так, чтобы представлять угрозу стабильности киберпространства, правам человека и фундаментальным свободам, а также применяться без надлежащих защитных механизмов и надзора.
Связанная со взломом устройств и систем деятельность должна проводиться законно и ответственно, в соответствии с международным законодательством, нормативной базой государств, а также со стандартами для ответственного поведения государств в киберпространстве, отмечается в декларации.
Больше свободы «белым» хакерам
В России продолжается трансформация действующего законодательства с целью предоставления большей свободы «белым» хакерам – специалистам, которые могут провести взлом той или иной информационной системы с целью выявления ее уязвимостей и их устранения.
Ранее в Госдуму РФ был внесен первый из пакета законопроектов, направленных на легализацию деятельности «белых» хакеров в России. В частности, предлагается внести ряд поправок в ст. 1280 Гражданского кодекса РФ. Необходимость таких законодательных изменений объясняет один из авторов законопроекта, член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин: «Сегодня для проведения тестирования защищенности систем российских компаний «белым» хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав, и «белых» хакеров могут обязать выплатить компенсации в размере до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы. Исходя из этого нашим законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ теми, кто правомерно владеет экземпляром программы или базы данных для выявления уязвимостей и исправления явных ошибок».
Без права передачи
Согласно законопроекту, «белые» хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, а передавать эту информацию третьим лицам запрещено. Таким образом, принятие законопроекта позволит анализировать уязвимости без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов. Это даст этичным хакерам больше свободы для того, чтобы работать на благо страны.
«Сегодня государственным органам и корпорациям, которые зачастую и сами имеют собственный штат квалифицированных IT-специалистов, важно систематически привлекать «белых» хакеров как независимых профессионалов, которые со своей стороны проверят безопасность информационных систем и либо убедятся в их надежности, либо выявят уязвимости и дадут рекомендации по их устранению. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам – в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы», – заключил Антон Немкин.
Механизм тестирования защищенности
В настоящее время готовится законопроект, который предлагает внесение поправок в ст. 16 Федерального закона «Об информации, информационных технологиях и о защите информации» для закрепления механизма проведения тестирования защищенности информационных систем при помощи «белых» хакеров.
Поправками предлагается на законодательном уровне закрепить возможность обладателя информации, оператора информационной системы в порядке и на условиях, определяемых им, привлекать «белых» хакеров для выявления уязвимостей информационной системы. При этом проводиться такие испытания могут как в форме тестирования на проникновение, при котором заказчик поручает определенному исполнителю отработать различные сценарии проникновения в систему и показать практическую возможность реализации в ней угроз, так и в форме программы Bug Bounty, в которой заказчик предлагает провести такую работу неопределенному кругу лиц.
Ставки растут
Российские компании также уделяют все больше внимания работе «белых» хакеров. Например, «Яндекс» расширяет программу по поиску уязвимостей «Охота за ошибками» – «белым хакерам» предлагают проверить на баги «Станцию Дуо Макс», «Станцию Миди» и «ТВ Станции». При этом повышена максимальная сумма вознаграждений за найденные уязвимости в умных устройствах – с 600 тыс. до миллиона рублей. Сумма выплаты зависит от критичности ошибки.
Кроме того, «Яндекс» увеличил вознаграждение за найденные уязвимости в других устройствах, например в «Станции Мини» с часами или «Станции Макс».
Компания Positive Technologies сообщила, что заплатит 60 млн рублей «белым» хакерам в рамках программы по поиску уязвимостей в своей системе защиты – вознаграждение полагается тому, кто первый внедрит условно вредоносный код в ее продукты. Если хакер выполнит один или несколько шагов до потенциальной реализации недопустимого события, ему тоже выплатят вознаграждение.
