Минцифры планирует легализовать белых хакеров
Это позволит запустить бонусную программу для тестировщиков уязвимостей в информационных госсистемахМинцифры прорабатывает возможность ввести понятие bug bounty в правовое поле. Это позволит легализовать программу выплат так называемым белым хакерам, которые на договорной основе тестируют информационные системы на наличие уязвимостей. Об этом «Ведомостям» рассказал собеседник в одной из российских компаний, специализирующихся на разработке инструментов кибербезопасности. О том, что правовые аспекты bug bounty прорабатываются, знает и человек в крупной международной компании на рынке информзащиты. В Минцифры от официальных комментариев отказались.
Цель обсуждаемой инициативы – легитимизировать рынок, так как сейчас понятие bug bounty в российском законодательстве никак не определено и потому может быть трактовано как «неправомерный доступ к компьютерной информации», т. е. подпасть под действие ст. 272 УК РФ, объясняет один из собеседников.
Такого понятия действительно нет в законе, подтверждает руководитель проекта The Standoff от Positive Technologies Ярослав Бабин (компания запустила свою программу весной). «Программа Positive Technologies работает как агрегатор между «исследователями» и бизнесом, – объясняет он. – С юридической точки зрения у нас существует «положение о конкурсах», в котором описаны все необходимые условия для проведения программ вознаграждения за реализацию недопустимых событий или уязвимостей в системах клиентов. Это положение регламентирует в том числе и действия исследователей и создано в первую очередь для них».
По словам Бабина, сейчас на платформе две программы от «Азбуки вкуса» и Positive Technologies, в ближайшее время появятся еще четыре, до конца года планируется подключить еще 10–20 партнеров. На платформе зарегистрировано более 800 исследователей, из которых 37 отправили хотя бы один отчет об уязвимости, добавляет он. «Всего за два с половиной месяца было отправлено более 60 отчетов, но большинство из них либо дубликаты, либо уязвимости низкой критичности. Пока выплат не было, но вознаграждение уже назначено для трех отчетов», – уточнил Бабин.
Программа поиска уязвимостей есть и у «СКБ Контур». «Первый исследователь, сообщивший о неизвестной ранее валидной уязвимости, может получить награду. Мы предлагаем денежное вознаграждение и фирменные подарки. Размер вознаграждения зависит от критичности найденной уязвимости», – говорится на сайте компании. Судя по официальной информации, за обнаружение уязвимости низкого уровня опасности белый хакер может получить от 3500 до 7000 руб., а критической – от 70 000 до 105 000 руб.
Аналогичная платформа есть и у Bi.Zone. «Сейчас идет предварительная регистрация клиентов и исследователей, планируем объявить о ней в течение месяца-полутора», – рассказал «Ведомостям» директор по росту бизнеса компании Рустэм Хайретдинов.
Легализация bug bounty в правовом поле позволит распространить такие программы и на тестирование государственных систем, отмечает технический директор АО «Синклит» Лука Сафонов. Но в России исследователи боятся работать с государством, отмечает он. Госпрограмма – это, скорее всего, участие объектов критической информационной инфраструктуры (КИИ), а это означает, что белым хакерам, скорее всего, придется взаимодействовать с ФСБ и ФСТЭК, рассуждает эксперт.
Отсутствие понятия bug bounty на законодательном уровне создает проблему, рассуждает бизнес-консультант по безопасности Алексей Лукацкий. «Достаточно вспомнить про историю админа одного из операторов связи в Обнинске, который решил помочь клиентам и просканировал их сеть на уязвимости, за что его прихватили сотрудники ФСБ и сейчас судят по ст. 274.1 за неправомерное воздействие на КИИ РФ», – приводит пример эксперт. Осуществление деятельности по поиску уязвимостей (bug bounty ли это, red team, пентест и т. п.) – «это всегда деятельность на грани», замечает Лукацкий. «С одной стороны, исследователи действуют в рамках договора и злого умысла у них нет, но с другой – договор всё не описывает и своими действиями они могут причинить ущерб, что может повлечь последствия, – объясняет он. – Поэтому попытку загнать эту тему в правовое русло можно только приветствовать».
По словам Лукацкого, сейчас в шаблонном договоре, который обычно заключается с белым хакером, прописывается условие, в соответствии с которым в случае предъявления каким-либо третьим лицом претензии, основанной на утверждении, что оказание такой услуги является незаконным, компания-разработчик обязуется за свой счет урегулировать претензии и покрыть убытки, если не сумеет доказать, что претензии были неправомерными. Так пентестер пытается снять с себя все претензии, а заказчику в лице компании, специализирующейся на разработке средств кибербезопасности, такое малоинтересно, заключает эксперт.
Инструмент, который обсуждает Минцифры, должен стать одним из стандартов оценки реальной защищенности организаций как коммерческих, так и государственных, считает Бабин. Инициатива Минцифры может дать хороший толчок для появления такого стандарта, заключает он.