Тестировщикам компьютерных программ разрешат не получать согласие их разработчиков при проверках на уязвимость. Такой законопроект Госдума приняла в первом чтении 16 октября. Компании смогут нанимать «белых хакеров», которые будут находить и устранять дыры в информационной безопасности. При этом информацию об уязвимостях передадут разработчикам программного обеспечения (ПО), только если они не находятся в недружественных странах. «Парламентская газета» узнала подробности.
Свобода действий пентестера
Россия находится в состоянии информационной войны, констатировал, выйдя на думскую трибуну, соавтор законопроекта, член Комитета по информационной политике, информационным технологиям и связи Антон Немкин. По его данным, 37 процентов отечественных компаний сталкиваются с компьютерными атаками один раз в месяц, за первое полугодие 2024-го зафиксировали уже 350 тысяч таких атак, что на 16 процентов больше, чем за весь предыдущий год.
«На этом фоне мало иметь свой штат IT-специалистов — нужно систематически проводить независимый аудит защищенности систем при помощи независимых профессионалов по информационной безопасности, так называемых пентестеров», — сказал Немкин. Их работу он сравнил с независимым аудитом финансовой отчетности компании или сторонними юридическими проверками.
В профессиональных кругах таких ловцов уязвимостей называют «белыми хакерами», поскольку их цель — не просто взломать программу или что-то украсть, но указать на слабое место ПО и, возможно, его починить. Эту работу усложняют действующие в России нормы авторского права, которые предложили уточнить. Поправки в Гражданский кодекс РФ предусматривают возможность изучения, исследования или испытания функционирования программ лицами, которые правомерно ими владеют или используют. Сейчас для этого нужно получать большое количество разрешений от правообладателя каждой программы. При этом тестирование без получения разрешения может быть воспринято как нарушение авторских прав, за что предусмотрены штрафы от 10 тысяч до 5 миллионов рублей.
Починить ПО как починить авто
Действовать «белые хакеры» будут небесконтрольно. С целью защиты авторских прав разработчиков ПО авторы законопроекта предусмотрели запрет на передачу информации о выявленных недостатках третьим лицам. Установлена обязанность пентестера сообщить о них правообладателю в течение пяти рабочих дней, но только если он не является представителем недружественного государства, уточнил первый зампред Комитета Госдумы по госстроительству и законодательству Даниил Бессарабов. На это в своем отзыве на законопроект указало Правительство: ко второму чтению в документ внесут поправки, уточняющие, при каких условиях будут извещать правообладателей, если они являются резидентами недружественных стран.
Современные информационные системы — это комплекс взаимодействующих между собой программ, и получить согласие от каждого разработчика затруднительно, объяснил суть нововведений первый зампред IT-комитета Госдумы Антон Ткачев. Покупателю же, по его словам, важно знать, что он установил действительно полезную, работоспособную, а главное безопасную программу. «С принятием закона покупатель программного обеспечения сможет проверить качество продукта в законной плоскости», — заключил депутат.
Член думского Комитета по просвещению, в прошлом программист Анатолий Вассерман сравнил поиск и устранение уязвимостей с ремонтом авто или ушивкой одежды. Разрешение на это, по его словам, жизненно необходимо, иначе еще долго современные программные комплексы будут оставаться источниками опасности.
Белые против черных
Сегодня в онлайн-пространстве действуют тысячи хакерских групп, большинство из которых финансируются недружественными странами, вернулся к своей первоначальной мысли Антон Немкин. «Их цель — любой ценой завладеть персональными данными наших граждан, которые они хотят использовать в противоправных целях, — сказал он. — Они также хотят через уязвимости добиться вывода из строя критически важных систем».
В случае успеха таких атак последствия затронут миллионы людей, отметил Немкин. «Белые хакеры», считает он, нацелены на то, чтобы определить логику своих черных коллег, а по сути преступников. И то, что для этого нужно смягчить законодательство об авторском праве, — логичный шаг. Здесь вице-спикер Госдумы Ирина Яровая указала разработчикам законопроекта, что поправки в Гражданский кодекс — всегда чувствительная и серьезная история. Документ в том числе охраняет базы данных с важной информацией. Не пострадают ли они, волновалась Яровая. Ее заверили, что такого не случится, потому что, во-первых, изучать ПО будут только его законные владельцы, а во-вторых, гораздо опаснее, что будет, если этого вовремя не сделать и если данные об уязвимостях все-таки утекут недругам России.
Еще раз вспомнив свое профессиональное прошлое, депутат Вассерман предложил разработчикам и покупателям ПО использовать программы, написанные на основе так называемого открытого кода. Это гораздо безопаснее.
Источник: ПГ