Противостояние в киберпространстве приводит к усилению юридических рисков для компаний, которые занимаются информационной безопасностью. Если раньше сведения об уязвимостях программного обеспечения использовались для решения коммерческих задач защиты от хакеров, то сейчас, когда наиболее опасными хакерскими группировками становятся правительственные кибервойска, уязвимости становятся оружием, и обмен сведениями о них может приравниваться к торговле оружием и даже обвинениям в госизмене.

 

Порядок обмена…

 Собственно, обмен сведениями об уязвимостях регулируется в российском законодательстве приказом ФСБ №368 от 24 июля 2018 г., который имеет характерное название «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ РФ, между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами КИИ РФ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения». Этот приказ утвердил два “порядка”, один из которых как раз и определяет правила обмена информацией о компьютерных инцидентах. Он очень прост — обмениваться информацией о компьютерных инцидентах на объектах КИИ в том числе и сведениями об уязвимостях можно только с НКЦКИ, а с иностранными организациями нельзя — для этого нужно получать санкцию (да, да — это слово означает «разрешение») НКЦКИ.

 Но вернёмся к госизмене — именно в этом обвиняют генерального директора компании и основателя Group-IB Илью Сачкова. Это одна из старейших компаний в сфере информационной безопасности, и именно международное сотрудничество было ее важным конкурентным преимуществом. Компания сотрудничает с такими международными организациями как Интерпол и Европол, с которыми и заключено соглашение по обмену данными. Причем ещё в 2011 году компания создала коммерческий центр реагирования на инциденты CERT-GIB, который является аккредитованным членом таких организаций как FIRST, Trusted Introducer, OIC-CERT, а также у него подписаны соглашения о сотрудничестве с CERT в различных странах. Понятно, что такое сотрудничество также предполагает обмен информацией об уязвимостях. Однако с недавнего времени CERT-GIB также взаимодействует и с ГосСОПКА по защите объектов критической информационной инфраструктуры, то есть имеет информацию по защите КИИ и, главное, обменивается ей с другими представителями международных сообществ. Это прямое нарушение приказа №368, хотя договора с международными CERT были заключены у Group-IB задолго до появления закона №187-ФЗ, в рамках которого данных приказ был принят. И хотя в приказе не указаны штрафные санкции при его невыполнении, однако вполне понятно, что обвинение генерального директора в государственной измене вполне соответствует духу данного приказа.

 И, да, кажется, что это может касаться только Group-IB, а всем остальным достаточно оставаться лояльным к государству и подобные риски для них не актуальны. Частично это правда — на нарушения Group-IB достаточно долго закрывали глаза, пока компания не попыталась увести свою основную экспертизу в Сингапур. Однако стоит вспомнить, что любая установка современной операционной системы Windows передает в Microsoft (иностранная организация) телеметрию. Да в компании утверждают, что там не передаются персональные данные, но сведения об инцидентах там всё-таки есть — именно они и являются сутью собираемых телеметрических данных. В результате, любой генеральный директор объекта КИИ, который установил у себя Windows и не заблокировал передачу телеметрии в Microsoft также рискует быть обвиненным в государственной измене, хотя право у нас и не прецедентное.

 

Альтернатива

В то же время строгое соблюдение требований закона может привести к проблемам иного рода, и примером того может служить ситуация с санкциями против Positive Technologies. Министерство торговли США наложило санкции на эту компанию, обвинив их в сотрудничестве с государственными спецслужбами России. Аналогичная история случилась несколько лет назад с компанией Digital Security. И здесь речь идёт о том же приказе ФСБ №368, в рамках которого все сведения об уязвимостях в том числе и в иностранном ПО нужно передать в НКЦКИ, который является подразделением ФСБ. Фактически эти санкции наложены за то, что российские компании просто соблюдали требования российского законодательства. По факту, какую бы сторону не выбрал российский ИБ-бизнес, он в любом случае должен адекватно оценивать риски как российских, так и международных регуляторов.

 

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку