Допустимые действия независимых IT-экспертов, известных как "белые хакеры", хотят прописать в законодательстве. Но меры по легализации не должны снизить порог нетерпимости к утечкам персональных данных, считают специалисты. Проблемы регулирования сектора кибербезопасности обсудили за круглым столом в "Российской газете" представители Госдумы, минцифры, правоохранительных органов и участников рынка.
Работа "белых хакеров", или "багхантеров", особенно актуальна сейчас, когда нужно защищать ключевые государственные системы и сервисы от беспрецедентных внешних атак — в 2023 году их количество выросло на 65% по сравнению с предыдущим годом. По словам главы ИАА Telecom Daily Дениса Кускова, рынок таких услуг можно разделить на три группы: пентесты — испытание систем на проникновение извне, управление уязвимостями и так называемые Red Team, объединяющие пентесты и управление уязвимостями. Существуют и так называемые "баг баунти", когда к тестированию привлекается неограниченный круг лиц.
"Мы проводили экспертный опрос 400 директоров по безопасности. На сегодняшний момент 21% используют пентесты. Это очень маленький процент, эта сфера будет расти, так как пентесты являются наиболее эффективным методом определения уровня реальной защищенности. И позволяют выявить многие существующие проблемы", — отметил Кусков.
В 2023 году рынок пентестов в России оценили в 3 млрд руб., как ожидается, в ближайшие четыре года он удвоится. Сегодня свои программы по "баг баунти" есть у "Яндекса", OZON, VK, "Тинькофф". В прошлом году к движению за этичный хакинг присоединились государственные ведомства. На первом этапе программы, инициированной минцифры, участники проверяли "Госуслуги" и ЕСИА. В итоге удалось найти 37 уязвимостей.
В Госдуму уже внесен законопроект, регулирующий возможность проведения тестирования защищенности систем без нарушения авторских прав их создателей, разработчиков компонентов таких систем и их владельцев. Об этом рассказал автор законопроекта, депутат Госдумы, член Комитета по информационной политике, информационным технологиям и связи Антон Немкин.
По словам Немкина, сейчас к внесению готов второй законопроект. В его рамках предлагается закрепить возможность оператора информационной системы на условиях, определяемых им, проводить мероприятия по выявлению уязвимостей информационной системы, в том числе с привлечением специалистов, которые не являются его сотрудниками.
"Сфера IT развивается активно. Часто получается, что злоумышленники находятся на шаг впереди. Мы вроде бы формируем меры и системы защиты, но постоянно находятся какие-то новые способы и подходы, каким образом осуществляются атаки. В сложившейся ситуации правильно действовать на упреждение. Нужно на несколько шагов продумывать, какие организационные законодательные меры необходимо вырабатывать, чтобы эти атаки снижались, а в руках наших регуляторов появлялись новые инструменты", — отметил Немкин.
Кроме того, в работе находятся поправки в Уголовный кодекс. Предлагается дополнить статьи УК РФ 272, 273, 274.1 в целях исключения возможных рисков привлечения к уголовной ответственности "белых" хакеров. В ряде случаев, даже если проникновение в систему выполняется с согласия обладателя информации и по его поручению, оно может образовать состав преступления по статье 273 УК РФ и части 1 статьи 274.1 УК. Именно эти вопросы вызывают наибольшую обеспокоенность у правоохранителей, так как существуют опасения, что поправки могут быть использованы для ухода от ответственности злоумышленниками.
Нельзя называть дискуссию вокруг поправок в УК противостоянием, уверен Немкин. "Это скорее мозговой штурм. Представители правоохранительных органов формулируют достаточно обоснованно свою позицию. И мы как раз в ходе этого диалога приходим к выработке мер", — говорит депутат.
В минцифры активно участвуют в выработке регулирования отрасли и считают вопрос чрезвычайно своевременным, отметила замдиректора Департамента обеспечения кибербезопасности ведомства Айсалу Бадягина.
"На наш взгляд, требуется установление четких правил, по которым могли бы привлекаться компании для проведения определенных исследований. При этом необходимо исключить возможные риски, которые раньше обсуждались. В том числе которые правоохранительными органами были подсвечены. Сегодня минцифры совместно с заинтересованными ФОИВами, в том числе ФСБ, обсуждает возможные риски, готовим проект специального отзыва на внесенный в Госдуму законопроект", — сообщила Бадягина.
Регулирование необходимо отрасли по той причине, что на сегодняшний день она достигла определенного потолка и необходимо привлекать в нее новых игроков, уверен Владимир Бенгин, директор по продуктовому развитию "Солар", ранее возглавлявший профильный департамент минцифы.
В целом бизнес очень позитивно смотрит на предлагаемые меры, говорит Алексей Минаев, заместитель управляющего директора OZON.
"Если ты соблюдаешь первое, второе и третье, то ты действительно "белый", к тебе никаких претензий быть не должно. В этом ключе, безусловно, проект заслуживает уважения. Отрадно, что это не какое-то репрессивное регулирование. Потому что обычно, когда создается какая-то новая регуляторика для IT, все в отрасли хватаются за корвалол", — отмечает он.
При этом очень важно не допускать перетекания независимых экспертов из легального поля в нелегальное. Если обратная миграция фактически исключена — компании избегают сотрудничества с теми, кто замечен в нарушении закона, то переход на "темную сторону" может стать фактором риска. Здесь могут помочь платформы, аккумулирующие таких специалистов и берущие на себя правовые вопросы, уверен Артем Сычев, советник генерального директора "Позитив Текнолоджиз".
"Есть общемировая практика, когда площадки агрегируют запросы со стороны желающих, чтобы их протестировали, с одной стороны, а с другой — аккумулируют желающих такую работу выполнить. И они выступают посредниками не только в организации этой работы, но и как верификатор тех данных, которые поступают от исследователя, и выплачивают им вознаграждение. В 2022 году, например, российские хакеры, которые участвуют в таких международных командах, получили чуть меньше 3 млн долларов вознаграждения, что составляет порядка 8% от общих выплат в мировом масштабе. И это подтверждает, что экономика здесь есть, она достаточно приличная. И она вполне может составить конкуренцию экономики пентестов", — говорит Сычев.
В свое время обсуждали возможность создать даже государственную платформу, где был бы государственный стандарт на эту деятельность, напоминает Минаев.
"В итоге выяснилось, что существующие коммерческие площадки быстро сориентировались. И те стандарты, которые они сейчас демонстрируют, вполне удовлетворяют потребности и хантеров, и нас, как заказчиков. Мы этим активно пользуемся", — сообщил Минаев.
При этом очень важным остается вопрос, что происходит с теми уязвимостями, которые обнаруживаются в ходе таких исследований, уверен Бенгин.
"С одной стороны, найденная уязвимость должна быть передана именно тому, кто заказал ее поиск. Но в этот момент возникает узкое место, где все против того, чтобы что-то делать с этой уязвимостью. И пытаются продолжать прятать ее под ковер. Организация, которая продавала эту лицензию, скажет: ты, пожалуйста, не говори больше об этой уязвимости или я не буду тебе скидки давать. Отсутствие возможности у исследователя передать еще в какие-то третьи руки возвращает нас к исходной проблеме, когда о найденной уязвимости никто не знает. А тот, кто обладает этим программным обеспечением, не хочет ничего делать. И другой риск. Когда мы даем право опубликовать эту уязвимость или, наоборот, заставляем прислать его в какой-нибудь орган, то мы тоже отпугиваем всех от этой истории. Я, как компания-заказчик, например, буду очень против, чтобы мои уязвимости исследователь имел право раздавать. И это тот баланс, который нам предстоит еще найти", — говорит эксперт.
Риски передачи данных об уязвимостях госорганам могут поставить под сомнение саму концепцию "белого хакерства", уверен Сычев. Как минимум внешним игрокам очень трудно оценить приоритетность уязвимости для процессов внутри компании.
"Я слышу тезис про то, что мне эту уязвимость показали, и у меня полгода на ее устранение. Но я не готов сейчас все ресурсы бросать на исправление, если в моем ранжире эта уязвимость не является критической уязвимостью. Я за ее поиск заплатил деньги не для того, чтобы затем закрыть на нее глаза. А что касается того, чтобы обязать экспертов докладывать куда надо обо всем, что они нашли, это такой путь, который может вообще отпугнуть от участия в программе. На мой взгляд, это противоречило бы самому духу такой деятельности. Самой этой субкультуре", — полагает Сычев.
Очень серьезным и дискуссионным вопросом остается и то, как быть с персональными данными граждан, которые могут быть затронуты в ходе таких тестов.
Целью пентестов является проверка возможности доступа к этим данным, напомнил Михаил Клименко, заместитель генерального директора "Веб Изи". "В то же время у владельца и оператора информационной системы отсутствует согласие субъекта персональных данных на передачу третьим лицам в результате внешнего аудита тестирования. Также отсутствует и законное основание для передачи этих персональных данных субъекта третьим лицам, что нарушает 152-ФЗ. Получить согласие на обработку персональных данных в случае аудита информационной безопасности в больших информационных системах, например, на каком-то региональном уровне практически невозможно. Возможно в качестве законодательной инициативы прописать в 152-ФЗ, что тот же пентестинг не является распространением персональных данных, и отдельного согласия в данном случае не нужно", — предлагает Клименко.
С этим категорически не согласен Владимир Бенгин. По его словам, сегодня полностью отсутствуют сценарии, когда в рамках тестов можно получить доступ к персональным данным, а любая попытка размыть эту ответственность приведет к росту угроз утечек.
"Тестировщик может запросить тестовые данные из системы и скачать их, если они имеются. Совершенно исключен вариант, когда можно случайно скачать 5 гигабайт персональных данных", — отметил он.
В то же время, выстраивая рамку для работы независимых IT-экспертов по безопасности, важно помнить о целеполагании их работы как таковой, отметил Айдар Гузаиров, генеральный директор Innostage. По его словам, это важно как для формирования легитимности инструментария хакеров, так и в целом.
Сегодня ответственность может наступить и по 273-й статье УК РФ, если создаются, распространяются и используются программы, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты. Однако именно такими программами в рамках пентестов и "баг баунти" пользуются и "белые хакеры".
"Фактически мы хотим получить бронежилет, который будет защищать от огнестрельного оружия. И проверять этот бронежилет из пневматики или из травмата, наверное, это опять неправильное целеполагание. С этой точки зрения любая программа, с помощью которой работает "белый" хакер, потенциально вредоносная программа, зловредная программа. Чисто формально это то, что может подпасть под некоторое уголовное преследование", — напомнил он.