Закон о белых хакерах. Как изменится поиск уязвимостей
Госдума приняла в первом чтении законопроект, который разрешает изучать и тестировать программы для ЭВМ без разрешения правообладателей.
Что меняется?
Новый законопроект упрощает выявление уязвимостей в информационных системах. Пользователи, которые приобрели программу, или их представители смогут исследовать ПО, чтобы выявлять в нем недостатки и исправлять ошибки. Это позволит проводить пентесты без угрозы нарушения авторского права.
Помимо этого, законопроект обязывает хакеров сообщать о найденных уязвимостях правообладателю в течение пяти рабочих дней — при условии, что контакты владельца находятся в открытом доступе. Передавать информацию другим третьим лицам запрещено.
Зачем это нужно?
Пентесты, или тесты на проникновение — важная составляющая кибербезопасности. Они позволяют находить уязвимости до того, как их обнаружат злоумышленники. Без этих проверок информационные системы и сервисы рискуют стать жертвами кибератак.
Текущие правовые ограничения затрудняют работу белых хакеров. Как правило, в информационных системах используются программы от разных правообладателей — у каждой свои соглашения и лицензии. При этом некоторые документы прямо запрещают действия, необходимые для проверки безопасности.
Текущее законодательство (часть 2 статьи 1280 ГК РФ) разрешает пользователям изучать и менять ПО, чтобы понять, как оно работает, или исправить ошибки. Однако это разрешение не распространяется на тестирование безопасности. Для таких проверок нужно получать согласие от каждого владельца программы, которая используется в информационной системе. Без этого разрешения пользователя могут привлечь к ответственности за нарушение авторских прав.
«Работы по поиску уязвимостей и проведению тестов на проникновение обязательны во многих случаях, например, при аттестации объектов. Такие задачи требуют привлечения лицензиатов ФСТЭК, оказывающих подобные услуги, однако даже они сталкиваются с рядом рисков в связи с текущими формулировками – таким образом, необходимость в обновлении законодательства в этой области назрела уже достаточно давно.»
Легализует ли законопроект коммерческие услуги?
По мнению экспертов в сфере ИБ, в текущем виде законопроект легализует «домашний хакинг». Он распространяется только на пользователей, которые приобрели ПО и исследуют его ради собственного интереса.
«Основной объем рынка составляют услуги по тестам на проникновение и коммерческий поиск уязвимостей. В текущем виде законопроект все еще оставляет в серой зоне тестирование облачных решений, а также, например, сайтов и порталов заказчика, если они расположены не на собственной инфраструктуре, так как они не подпадают под критерии обновленного законопроекта.»
Когда поправки вступят в силу?
Законопроект принят только в первом чтении — это «начало» законодательной цепочки. Далее он должен пройти еще два чтения в Госдуме, получить одобрение Совета Федерации и подпись Президента. И только после финальной стадии — обнародования (или опубликования) — поправки вступят в силу.