В Совфеде готовят закон для белых хакеров
Сейчас специалисты по кибербезопасности работают фактически вне правового поля
В последние годы значительно увеличилось не только число инцидентов информационной безопасности, но и усложнилась их техническая структура, повысилась скоординированность атак, которые направлены на выведение полностью или частично из строя объектов критической информационной инфраструктуры, причинение ущерба государственному управлению, а также нарушение устойчивости экономики в целом.
Число компьютерных инцидентов по сравнению с 2020 годом увеличилось на 42% в 2021 году и на 15% в 2022 году соответственно. В 2020 году атакующие больше полагались на эксплуатацию уязвимостей ПО (44% от общего числа успешных атак) для компрометации информационной инфраструктуры, в 2022 году эта доля сократилась до 22%, а атакующие переключились на применение методов социальной инженерии (38%), использование вредоносных программ (45%) и компрометацию учетных данных (14%).
Поиск уязвимостей
Деятельность по поиску уязвимостей и оценке защищенности обеспечивает объективный взгляд на действующие системы и процессы защиты информации, помогает выявить слабые места, ошибки и устранить их до того, как ими мог бы воспользоваться злоумышленник, и тем самым предотвратить возникновение инцидентов информационной безопасности и связанных с ними убытков. Использование программ по поиску уязвимостей и оценке защищенности, проводимых как силами множества независимых специалистов, так и экспертами специализированных организаций, применимо для информационных ресурсов государственных структур и коммерческих компаний.
В Российской Федерации сложилась практика проведения программ по поиску уязвимостей и оценке защищенности информационных ресурсов в рамках гражданско-правовых отношений. Так, например, Минцифры России проводится поиск уязвимостей платформы «Госуслуги» и других государственных порталов. Во время первого этапа Bug Bounty, проходившего с февраля по май 2023 года, по данным Миницифры, «белые» хакеры выявили 37 уязвимостей, которые уже устранили. Общая сумма вознаграждений составила 1,95 млн рублей. На втором этапе, который проводится в декабре текущего года, размер вознаграждения будет зависеть от степени опасности обнаруженной уязвимости: низкая оценивается до 30 тыс. рублей, средняя — до 100 тыс. рублей, высокая — до 300 тыс., а критическая — до 1 млн рублей. Проведение таких программ важно продолжить, так как данный механизм позволяет усилить защиту государственных порталов.
Пробелы в законодательстве
Действующее законодательство не содержит определения специалистов по кибербезопасности, которые тестируют защищенность информационных ресурсов (информационных систем, программных продуктов) организаций при наличии их согласия, атакуя значимые сегменты инфраструктуры так, как это бы делали реальные киберпреступники, с целью выявления уязвимостей и повышения уровня их информационной защищенности.
В законодательстве Российской Федерации не урегулированы вопросы применения механизмов тестирования, таких как пентест и Bug Bounty, позволяющих проверить защищенность инфраструктуры или отдельных ее элементов в условиях, максимально приближенных к реальности, когда хакеры ведут атаку на компанию. По результатам таких мероприятий компания получает информацию о содержащихся в информационных системах уязвимостях, которые могут быть использованы для реализации угроз безопасности информации, а также возможность не допустить эксплуатации этих уязвимостей.
Таким образом, у специалистов по поиску уязвимостей возникают опасения в связи с риском неоднозначной правовой оценки их деятельности ввиду отсутствия закрепления в законодательстве инструментов пентеста и Bug Bounty, что не способствует увеличению количества профессионалов, готовых заниматься данным направлением.
Законопроект
В настоящее время мы совместно с экспертами в области информационной безопасности разрабатываем проект федерального закона, целью которого является легализация деятельности по поиску уязвимостей и оценке защищенности информационных ресурсов, ее определение и установление государственного контроля за ее осуществлением.
Законопроектом предлагается ввести в правовое поле три вида деятельности, для организации которых необходимо иметь лицензию ФСТЭК России:
1) Проведение программ по поиску уязвимостей информационных ресурсов, к которым приравниваются ПО и мобильные приложения.
По заявке заказчика организатор (юридическое лицо в области ИТ, имеющее лицензию) привлекает независимых специалистов по ИБ к проведению программы (Bug Bounty) на специально созданной платформе на определенных условиях. В случае выявления исследователем серьезной уязвимости он получает соответствующее вознаграждение. Программа может быть открытой (публичной) или закрытой (с привлечением ограниченного круга независимых специалистов).
2) Реализация проектов, по оценке защищенности информационного ресурса.
По заявке заказчика исполнитель (юридическое или физическое лицо, имеющее лицензию) на платной основе осуществляет тестирование на проникновение (пентест) информационного ресурса.
3) Инициативная деятельность исследователей.
На разных этапах жизненного цикла информационных систем выявляются уязвимости, сведения о которых целесообразно передавать пользователям и разработчикам/владельцам ПО для принятия мер по нивелированию влияния этих уязвимостей. Предложена процедура такого уведомления: независимый специалист сообщает любому из организаторов программ по поиску уязвимостей о выявленных уязвимостях. Организатор, в свою очередь, обеспечивает передачу данной информации разработчику/владельцу и пользователю информационного ресурса (мобильного приложения, программы для ЭВМ) в целях дальнейшего устранения уязвимости, а также во ФСТЭК и ФСБ для публикации в базе данных угроз в соответствии с регламентом.
Законопроектом также предлагается ввести понятийный аппарат, определить состав участников, полномочия регуляторов по контролю, а также особенности проведения госзакупок для реализации мероприятий по поиску уязвимостей и оценке защищенности государственных и муниципальных информационных ресурсов.
Какие инициативы уже существуют
На данный момент уже существует законопроект «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации», подготовленный в качестве законодательной инициативы депутатами Государственной Думы. Его целью является исключение нарушения авторских прав на программы для ЭВМ при осуществлении тестирования защищенности информационных систем.
Данная инициатива, безусловно, имеет важный характер. Однако она не устраняет законодательные пробелы полностью, так как направлена на решение лишь одного узкоспециального вопроса и не позволяет урегулировать комплекс проблем, сопряженных с деятельностью по поиску уязвимостей и оценке защищенности информационных ресурсов, в том числе законодательно не определяет, что понимается под тестированием защищенности, какие особенности тестирования существуют в отношении объектов критической информационной инфраструктуры и какова роль ФСТЭК России в этом процессе.
Учитывая изложенное, концепция проекта федерального закона «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации» не позволяет ликвидировать все пробелы, связанные с определением деятельности по поиску уязвимостей, системным и понятным регулированием этой сферы отношений.
Ещё материалы: Артем Шейкин