Следственный комитет РФ, Генпрокуратура и МВД не одобрили добавление поправок в Уголовный кодекс, легализующих создание и использование «белыми» хакерами вредоносного программного обеспечения (ПО) по заданию заказчика.

Вопрос легализации «белых» хакеров, которых компании привлекают для поиска уязвимостей в своем ПО, широко обсуждается с лета прошлого года, когда Минцифры начала изучать вопрос внедрения в законодательство понятия поиска уязвимостей в софте за вознаграждение (bug bounty). В феврале этого года руководитель комитета Госдумы по информполитике Александр Хинштейн призывал освободить от ответственности «белых» хакеров, которые действуют в интересах России. В марте данный законопроект был поставлен на паузу из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК). В итоге проект закона до сих пор не внесен в парламент.

В частности, документ предлагает предоставить «белым» хакерам возможность изучать и тестировать софт на уязвимости для их исправления, но при этом обязать информировать о находках правообладателя, который, в свою очередь, получит право привлекать сторонних специалистов к этому процессу. Между тем, правительство получит возможность устанавливать требования к выявлению уязвимостей, ибо в данный момент их устанавливает заказчик.

СК РФ придерживается такого же мнения. «Если человек заключает договор или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления», — цитирует РБК руководителя отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления СК РФ Константина Комарды.

Директор по продуктовому развитию группы «Солар» Владимир Бенгин посетовал, что более 50% российских этичных хакеров не выходят в легальное поле, поскольку опасаются привлечения к уголовной ответственности. Однако, у силовиков иная точка зрения: если поправки будут одобрены, то хакеры со злым умыслом начнут предъявлять документы о заключении договора на тестирование инфорсистемы, чтобы доказать свою невиновность, и доказать обратное будет достаточно тяжело.

Один из авторов поправок, депутат Госдумы Антон Немкин сообщил, что законопроект дорабатывает рабочая группа, в состав которой входят представители Минцифры, ФСБ, МВД и ФСТЭК. Этот процесс займет не менее года. Для исключения возможных рисков следует обязать «белых» хакеров регистрироваться перед проведением тестирования и оставлять сообщение о своих намерениях, предоставлять свой IP-адрес, добавил Немкин.

Стоит добавить, что эксперты в сфере кибербезопасности зафиксировали исторический минимум финансовой добычи мошенников. Согласно статистике Центробанка, средняя сумма средств, похищенных у клиентов отечественных банков, составила в третьем квартале этого года около 12,4 тыс. рублей. Это минимальный показатель с 2021 года. В первом квартале 2023 года средний чек составлял 18 тыс. рублей, тогда мошенники похитили рекордную за квартал сумму денег – 4,5 млрд рублей.

Специалисты отмечают, что уменьшение средней суммы похищенных денег связано, во-первых, с усилием банков по предотвращению телефонного мошенничества с применением приемов социальной инженерии, а во-вторых, с тем, что люди становятся менее чувствительны именно к телефонным звонкам. В любом случае нужно сохранять бдительность, уловки мошенников давно всем известны.

Фото: Kandinsky