Закон о белых хакерах. Как изменится поиск уязвимостей - Академия Selectel

Закон о белых хакерах. Как изменится поиск уязвимостей

Анастасия Ткачева
Анастасия Ткачева Продуктовый редактор
25 ноября 2024

Госдума приняла в первом чтении законопроект, который разрешает изучать и тестировать программы для ЭВМ без разрешения правообладателей.

Изображение записи

Что меняется?

Новый законопроект упрощает выявление уязвимостей в информационных системах. Пользователи, которые приобрели программу, или их представители смогут исследовать ПО, чтобы выявлять в нем недостатки и исправлять ошибки. Это позволит проводить пентесты без угрозы нарушения авторского права.

Помимо этого, законопроект обязывает хакеров сообщать о найденных уязвимостях правообладателю в течение пяти рабочих дней — при условии, что контакты владельца находятся в открытом доступе. Передавать информацию другим третьим лицам запрещено. 

Зачем это нужно?

Пентесты, или тесты на проникновение — важная составляющая кибербезопасности. Они позволяют находить уязвимости до того, как их обнаружат злоумышленники. Без этих проверок информационные системы и сервисы рискуют стать жертвами кибератак.

Текущие правовые ограничения затрудняют работу белых хакеров. Как правило, в информационных системах используются программы от разных правообладателей — у каждой свои соглашения и лицензии. При этом некоторые документы прямо запрещают действия, необходимые для проверки безопасности. 

Текущее законодательство (часть 2 статьи 1280 ГК РФ) разрешает пользователям изучать и менять ПО, чтобы понять, как оно работает, или исправить ошибки. Однако это разрешение не распространяется на тестирование безопасности. Для таких проверок нужно получать согласие от каждого владельца программы, которая используется в информационной системе. Без этого разрешения пользователя могут привлечь к ответственности за нарушение авторских прав.

«Работы по поиску уязвимостей и проведению тестов на проникновение обязательны во многих случаях, например, при аттестации объектов. Такие задачи требуют привлечения лицензиатов ФСТЭК, оказывающих подобные услуги, однако даже они сталкиваются с рядом рисков в связи с текущими формулировками – таким образом, необходимость в обновлении законодательства в этой области назрела уже достаточно давно.»

Денис Полянский Директор по клиентской безопасности Selectel

Легализует ли законопроект коммерческие услуги?

По мнению экспертов в сфере ИБ, в текущем виде законопроект легализует «домашний хакинг». Он распространяется только на пользователей, которые приобрели ПО и исследуют его ради собственного интереса. 

«Основной объем рынка составляют услуги по тестам на проникновение и коммерческий поиск уязвимостей. В текущем виде законопроект все еще оставляет в серой зоне тестирование облачных решений, а также, например, сайтов и порталов заказчика, если они расположены не на собственной инфраструктуре, так как они не подпадают под критерии обновленного законопроекта.»

Денис Полянский Директор по клиентской безопасности Selectel

Когда поправки вступят в силу? 

Законопроект принят только в первом чтении — это «начало» законодательной цепочки. Далее он должен пройти еще два чтения в Госдуме, получить одобрение Совета Федерации и подпись Президента. И только после финальной стадии — обнародования (или опубликования) — поправки вступят в силу.

Как выглядит законодательный процесс.
Как выглядит законодательная цепочка.