Срок за пентест: как уберечься от уголовного наказания белым хакерам

Уголовный кодекс выделяет отдельную, хотя и небольшую главу, посвященную преступлениям в ИТ-сфере: взломам электронных почт, созданием и использованием «вирусов» и т.д. В текущем регулировании существует ряд пробелов, которые влияют на деятельность и вполне законопослушных граждан. Так, под удар попадает «пентест» (тестирование на проникновение), то есть услуга по информационной безопасности, выявляющая уязвимости информационных систем.

Сама суть пентеста заключается в том, чтобы исследовать слабые места информационных систем, сервисов и инфраструктуры. Для этого пентестеры используют специальное ПО, потенциально способные обходить защиту информационных систем и наносить непосредственный вред объекту атаки. Получается, что деятельность специалистов сферы инфобеза потенциально подпадает под реальные статьи Уголовного Кодекса РФ (ст. 272, 273 и 274). Атака хоть и проходит по заранее определенному Техническому заданию и в плотном контакте между исполнителем и заказчиком. Тем нее менее, это атака. А как иначе проверить безопасность и провести работу над ошибками, не используя инструменты, имитирующие действия реальных хакеров? Тем более, раз сами клиенты обращаются за такой услугой. Уголовный Кодекс не делает никаких оговорок о непривлечении ИБ-шников от ответственности, даже при соблюдении всех процедур и правил.

В конце 2022 года был опубликован текст нового Постановления Пленума ВС РФ, посвященного «хакерским» статьям Уголовного Кодекса (Постановление Пленума Верховного Суда РФ от 15.12.2022 N 37 "О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть "Интернет"). Разъяснения Верховного Суда серьезно влияют на практику применения законов, так как дают судам ориентиры и задают общие направления судебной практики. Постановление разъясняет вопросы ответственности разных лиц: от «чайников в Интернете», случайно скачавших вирус, до профессионалов, проводящих аудиты информационной безопасности.

Интересно, что первоначальный текст проекта был доработан во многом для сферы информационной безопасности (п. 11). Изначально от ответственности освобождалось лицо, проводящее тестирование компьютерных систем только на своем устройстве. По текущей редакции оказание услуг возможно и на других устройствах, если такой доступ согласован (т.е. получено согласие собственника компьютерного устройства).

Также декриминализовано создание компьютерных программ для тех же целей. Если для проведения пентеста требуется свое приложение, то теперь можно его разработать и не опасаться привлечения к уголовной ответственности. Для этого, однако, нужно правильно оформить пакет документов на услуги ИБ.

Данное стало первым документом, разъясняющим положения об ответственности «белых хакеров». В документе подчеркнута важность учета умысла лица и целей деяния; рассмотрены ситуации технических сбоев и приведены случаи правомерных и неправомерных действий с компьютерной информацией. Для профессионалов, оказывающих услуги ИБ на правомерной основе или проводящих обучение в данной сфере, «хакерские» статьи действительно были декриминализованы.

Дополнительно изложим основные положения документа:

№1. Определен ряд понятий:

• Компьютерная информация (сокр. – КИ);
• Отдельно определена охраняемая КИ:
  а) по закону;
  б) по действиям самого правообладателя, если им установлены средства защиты. Хранится такая информация может не только на компьютере, но и на внешних эл. носителях (флешки, жесткие диски и т.д.);
  
• Неправомерные действия с КИ (блокирование, уничтожение и т.д.), а также содержание таких действий;
  
• Неправомерный доступ к КИ: любой способ – как непосредственно через чужой компьютер, так и удаленно;
  
• Иная КИ (в ст. 273 УК РФ): любые сведения, которые позволяют выполнить преступные деяния, например, ключи доступа для отключения защиты; элементы кодов компьютерных программ, способных скрытно уничтожать и копировать информацию;
  
• Компьютерная программа и устройства (к ним относятся компьютеры, телефоны, ноутбуки и др. устройства);
  
• Распространение вредоноса (ст. 273) заключается в предоставлении к нему доступа конкретным лицам или неопределенному кругу лиц любым способом;
  
• Сайт: совокупность программ для компьютерных устройств и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством сети «Интернет» по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать такие сайты.
  

№2. Установлен момент окончания преступлений по статьям:

• Ст. 272 и 274 УК РФ: когда наступают негативные последствия с информацией (ее уничтожение, модификация и т.д.) или крупный ущерб (ст. 274 УК РФ).

№3. Указано на необходимость установления причинно-следственной связи между деянием и последствиями:

• Если негативные последствия наступили случайно и не по воле человека (например, из-за сбоя программ, технических неполадок), то лицо не несет ответственности.

№4. Разграничены случаи оконченного преступления и покушения на преступление (по фактическому наступлению преступных последствий):

• Ст. 272 УК РФ: если лицо добивалось вредоносных последствий, но по независящим от него причинам они не наступили (например, сработал антивирус), то это считается покушением на преступление;
• При этом в ст. 273 несколько другой подход: тут достаточно установить создание части (фрагмента) кода вредоносной компьютерной программы, и это будет считаться оконченным преступлением.
  

№5. Указано на обязательность учета умысла:

• Ст. 273: программа заведомо предназначалась именно для преступных целей, а не просто потенциально могла быть использована таким образом;
• Ст. 274.1: программа должна быть предназначена для незаконного воздействия именно на критическую информационную инфраструктуру РФ;
  
• Совершение преступлений при использовании Интернета должно быть сознательным. Если деяние совершено им из-за отсутствия у него необходимых технических или иных знаний, то это не должно считаться преступлением. Пример: непонимание принципов работы и обмена файлами в торрент-трекере.
  

№6. Определена совокупность преступлений:

• Она есть, если деяние охватывается несколькими статьями (например, ст. 272 и 273 одновременно);
• Ее нет, если деяние подпадает под 274.1 (доп. квалификации со ст. 273 не требуется).
  

№7. Отсутствует состав преступления по ст. 273, когда:

• Вредоносная или потенциально вредоносная программа используется в правомерных целях (образовательные цели и оказание услуг), И это не влечет негативных последствий. Сюда как раз относится пентест и другие услуги по ИБ (когда такие услуги правильно оформлены и закреплены документально), а также использование программ в образовательных целях;
• Компьютерная программа создается в тех же целях.
  

№8. Разъяснено понятие вредоносных последствий, по которым устанавливается факт наличия преступления (ст. 272-274.1):

• Через примеры тяжких последствий:
  – длительная приостановка или нарушение работы предприятия, учреждения или организации;
  – получение доступа к информации, составляющей охраняемую законом тайну;
  – предоставление к ней доступа неограниченному кругу лиц;
  – причинение по неосторожности смерти, тяжкого вреда здоровью хотя бы одному человеку.
  
  

№9. Определено место совершения преступления с использованием Интернета (от чего зависит территориальная подсудность):

• Это место выполнения состава преступления (например, если при помощи Интернета осуществлялся призыв к экстремистской деятельности – то месту, откуда совершались эти призывы).

№10. Разъяснены термины по отдельным преступлениям:

• распространением порнографических материалов считается предоставление доступа к таким материалам как в личном сообщении, так и в групповых чатах; как по электронной почте, так и в мессенджерах или социальных сетях. При этом реальный доступ к ним хотя бы одного человека не имеет значения. Материалы просто могут быть где-то размещены с потенциальной возможностью доступа других лиц к ним. (Такое понимание распространения отличается от распространения вредоносного ПО: там учитывается предоставление доступа ХОТЯ БЫ одному лицу);
• под публичную демонстрацию подпадают прямые эфиры в соц. сетях. Под публичной демонстрацией понимаются только действия, которые не дают возможность других пользователей самостоятельно использовать такие материалы (например, сохранить себе, репостнуть запись и т.д.).
  

№11. При сложных технических вопросах в судебное разбирательство рекомендовано привлекать специалистов.