14 октября на площадке кибербез-хаба «Кибердом» состоялось заседание комиссии РОЦИТ по облачным технологиям, хостингу и информационной безопасности на тему легализации деятельности «белых хакеров». В частности, на встрече обсуждались международный опыт регулирования деятельности таких специалистов, и законодательная инициатива, предусматривающая создание специального реестра «белых хакеров» в Российской Федерации.
В начале заседания председатель комиссии РОЦИТ по облачным технологиям, хостингу и информационной безопасности, генеральный директор EdgeCenter Михаил Шурыгин обозначил основную проблематику, связанную с необходимостью регулирования деятельности этичных хакеров: «Белый хакинг действительно требует регулирования, но это не должно становиться препятствием для самих хакеров. Важно установить четкие правила, которые защитят интересы общества, но при этом сохранят свободу для специалистов, работающих на благо. Белые хакеры играют ключевую роль в обеспечении кибербезопасности, и их деятельность должна поддерживаться и стимулироваться, а не ограничиваться. Однако я бы все же сказал, что для проведения проверок на уязвимость критически важных инфраструктур и государственных компаний белым хакерам нужна идентификация. Регулирование должно быть сбалансированным, способствуя развитию отрасли и защите прав всех участников процесса».
Мероприятие продолжил председатель комиссии РОЦИТ по законотворческой деятельности, декан факультета права Высшей школы экономики Вадим Виноградов, который привел коллегам сравнительный анализ юридической практики разных стран. Спикер отдельно остановился на США и ЕС, уточнив, что в данных юрисдикциях законодательство в сфере информационной безопасности жестче, но в то же время многие действия белых хакеров декриминализированы: «В США было выпущено специальное заявление от Министерства юстиции в 2022 году, которое уточнило, что закон 1986 года о компьютерном мошенничестве и злоупотреблении необходимо трактовать иначе. Лица, которые получают доступ к компьютерным системам исключительно из добросовестных соображений, тестирования, изучения или исправления пробелов безопасности и уязвимостей, освобождаются от преследования в рамках этого закона. Эти принципы впервые провозглашают, что за проверку безопасности без злого умысла не должны предъявляться обвинения. Такова официальная позиция Министерства юстиции США. Однако было также отмечено, что данное решение не будет распространяться на частные компании и правоохранительные органы федеральных штатов, которые также могут продолжать судебное разбирательство с хакерами, используя законодательство своего штата».
Далее слово взял основатель и директор Singleton Security & CyberEd Егор Богомолов. По его мнению, одной из серьезных проблем индустрии является проблема невозможности популяризации этой дисциплины в широких кругах: «У общества есть устоявшийся нарратив, о том, что хакер неизбежно должен сидеть в тюрьме, потому что он не легализован в правах на уровне отношений с государством. Я считаю, что благодаря механизмам открытого стимулирования области белого хакинга: популяризации, разъяснительным постановлениям на уровне государства и суда можно вывести из криминальной среды те благие исследовательские начала, которые несут своей деятельностью белые хакеры».
Коллегу поддержал член правления РОЦИТ, эксперт по информационной безопасности Андрей Ярных. По словам эксперта, важно четко осознавать, что возможность для хакеров легально использовать свои навыки для тестирования систем и поиска уязвимостей – это большое благо: «Это не так просто доступно всем. Например, один французский белый хакер, с которым я общался, сотрудничает с производителями оборудования. Когда выпускается новый продукт, он тестирует его на уязвимости в рамках договора, предоставляя отчет о найденных проблемах и предложениях по их устранению. Это пример частного партнерства, которое приносит пользу обеим сторонам. Однако, несмотря на пользу таких инициатив, при проведении киберучений, особенно с реальной инфраструктурой, часто сталкиваются с сопротивлением – опасаются, что системы выйдут из строя. На мой взгляд, необходимы отдельные «слепки» инфраструктуры для проведения тестов и учений, чтобы понять реальную устойчивость систем, особенно критических. Без этого, вероятно, придется учиться на ошибках и последствиях атак. Поэтому крайне важно двигаться к тому, чтобы белые хакеры могли официально и безопасно выполнять свою работу».
О декриминализации белых хакеров рассказала и цифровой юрист, член РОЦИТ, консультант отдела сравнительного и международного частного права Исследовательского центра частного права им. С.С. Алексеева при президенте РФ Мария Любимова. В частности, эксперт предостерегла коллег от излишне жесткого регулирования и призвала обратить внимание на компетенции сотрудников правоохранительных органов: «Важно тщательно продумать процесс декриминализации и выбрать правильный подход. Возможно, это можно сделать через изменение законодательства или использовать более мягкий путь – разъяснение через постановления пленумов. Это поможет судам понимать, кого нужно наказывать, а кого нет. Особое внимание следует уделить тому, что многие следователи и судьи, особенно в возрасте, часто не имеют достаточной квалификации в ИТ-сфере и нуждаются в систематическом обучении. Однако регулирование должно быть крайне осторожным: в сфере ИТ существует много аспектов, которые лучше не регулировать слишком жестко, чтобы не замедлить развитие отрасли. Любое поспешное или неумелое вмешательство может привести к негативным последствиям, поэтому к созданию новых правил и реестров нужно подходить плавно и осмотрительно, чтобы не нанести вред отрасли, которая уже признана стратегически важной».
Представители сообщества «белых хакеров» согласились, что квалификация судов нередко оказывается недостаточной и выразили готовность принимать участие в качестве независимых экспертов. Также они обратили внимание на существующий парадокс, при котором одни и те же программы могут быть использованы как для легальных, так и для преступных целей: «Программы для взлома, независимо от их создателя, по своей сути одинаковы. И те, что используются белыми хакерами для поиска уязвимостей, и те, что создаются черными хакерами для атаки, выполняют одну и ту же функцию – взлом. Разница лишь в намерении: одни используют их для защиты, другие – для причинения вреда. Поэтому важно законодательно закрепить этот момент и не просто судить по наличию программы для взлома, а по цели ее использования. Если умысел злонамеренный, действия должны быть наказуемы, а если он отсутствует и взлом производится для защиты, то это должно быть допустимо. Важно также рассмотреть вопрос пересмотра ответственности, включая не только уголовную, но и гражданскую, чтобы более гибко подходить к таким ситуациям».
С точки зрения законодателя выступил председатель правления РОЦИТ, заместитель председателя Комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи Антон Горелкин. По его мнению, наиболее перспективным представляется институт сертификации: «Идею реестра я не поддерживаю как минимум по причине её небезопасности, и уверен, что коллеги по комитету Госдумы со мной согласятся. Важно никого не отпугнуть, если мы будем заниматься регуляторикой этичного хакинга. Возможно, она трансформируется в некую законодательную помощь рынку для совершенствования механик сертификации специалистов. Также стоит отметить, что сертификация должна добровольной, но в то же время служить реальным механизмом, призванным обеспечить высокие стандарты квалификации и позволяющим специалистам эффективно использовать свои навыки для защиты систем».
На необходимость тестирования любых инициатив в сфере кибербезопасности при реальных условиях указал эксперт РОЦИТ, руководитель проекта Технологии «Российской газеты» Олег Капранов: «Теоретические модели и лабораторные тесты дают лишь общее представление о работе системы, но не учитывают динамику реальных угроз. Без такого практического тестирования сложно предугадать, как системы будут реагировать на сложные атаки, и это может привести к серьезным последствиям. Поэтому, для обеспечения надежной защиты, необходимо объединить все ресурсы, как технические, так и человеческие. Это включает сотрудничество между государственными органами, частными компаниями и экспертами по безопасности, чтобы своевременно адаптироваться к новым угрозам и повысить устойчивость инфраструктуры».
Мероприятие подытожил эксперт РОЦИТ, заместитель председателя комиссии по правовому обеспечению цифровой экономики Ассоциации Юристов России Борис Едидин, который призвал коллег смотреть на ИТ-индустрию как на набор специалистов в целом и то, какие вопросы нужно с ними решать: «А это не только вопросы кибербезопасности. Это вопросы и воспитания, и вопросы учета, и ведения школьников: от первых своих шагов в программировании до выполнения крупных государственных проектов».