Легализация «белых хакеров» — что изменится после принятия закона?
Госдума утвердила в первом чтении законопроект, который разрешает изучать и тестировать программы без разрешения правообладателей.
Что меняется?
Новый законопроект упрощает выявление уязвимостей в информационных системах. Пользователи, которые приобрели программу, или их представители смогут исследовать ПО, чтобы выявлять в нем недостатки и исправлять ошибки. Это позволит проводить пентесты без угрозы нарушения авторского права.
Помимо этого, законопроект обязывает хакеров сообщать о найденных уязвимостях правообладателю в течение пяти рабочих дней — при условии, что контакты владельца находятся в открытом доступе. Передавать информацию другим третьим лицам запрещено.
Зачем это нужно?
Пентесты, или тесты на проникновение — важная составляющая кибербезопасности. Они позволяют находить уязвимости до того, как их обнаружат злоумышленники. Без этих проверок информационные системы и сервисы рискуют стать жертвами кибератак.
Текущие правовые ограничения затрудняют работу белых хакеров. Как правило, в информационных системах используются программы от разных правообладателей — у каждой свои соглашения и лицензии. При этом некоторые документы прямо запрещают действия, необходимые для проверки безопасности.
Текущее законодательство (часть 2 статьи 1280 ГК РФ) разрешает пользователям изучать и менять ПО, чтобы понять, как оно работает, или исправить ошибки. Однако это разрешение не распространяется на тестирование безопасности. Для таких проверок нужно получать согласие от каждого владельца программы, которая используется в информационной системе. Без этого разрешения пользователя могут привлечь к ответственности за нарушение авторских прав.
«Работы по поиску уязвимостей и проведению тестов на проникновение обязательны во многих случаях, например, при аттестации объектов. Такие задачи требуют привлечения лицензиатов ФСТЭК, оказывающих подобные услуги, однако даже они сталкиваются с рядом рисков в связи с текущими формулировками – таким образом, необходимость в обновлении законодательства в этой области назрела уже достаточно давно».
Легализует ли законопроект коммерческие услуги?
По мнению экспертов в сфере ИБ, в текущем виде законопроект легализует «домашний хакинг». Он распространяется только на пользователей, которые приобрели ПО и исследуют его ради собственного интереса.
«Основной объем рынка составляют услуги по тестам на проникновение и коммерческий поиск уязвимостей. В текущем виде законопроект все еще оставляет в серой зоне тестирование облачных решений, а также, например, сайтов и порталов заказчика, если они расположены не на собственной инфраструктуре, так как они не подпадают под критерии обновленного законопроекта».
Когда поправки вступят в силу?
Законопроект принят только в первом чтении — это «начало» законодательной цепочки. Далее он должен пройти еще два чтения в Госдуме, получить одобрение Совета Федерации и подпись Президента. И только после финальной стадии — обнародования (или опубликования) — поправки вступят в силу.
Хотите быть в курсе последних событий из мира ИБ? Читайте отчеты, новости и аналитику в Security Center.
"законопроект обязывает хакеров сообщать о найденных уязвимостях правообладателю в течение пяти рабочих дней". Вот бы закон обязывал и правообладателей исправлять уязвимости в пределах установленного срока) Иначе выходит, что дыры в безопасности есть, находить их важно, а лутать — по желанию...
Тогда бы мы жили в совсем другом мире)
а чем белые хакеры отличаются от обычных?
Белые хакеры - добрые, обычные - злые 😁
Мне кажется, это очень запоздалое решение. Такой закон надо было принять еще четверть века назад, по сути в прошлую эпоху компьютеризации. Что ж, как говорится: «Лучше поздно, чем никогда».
Давно пора
Так еще дождаться надо, когда верхушка одобрит