«Белые» хакеры — явление не новое в рамках проработки мер по кибербезопасности. С их помощью можно надежно защищаться от злоумышленников. Только в прошлом году благодаря пентестерам было выявлено 14 тысяч уязвимостей в системах российских компаний.
«Дыры в информационной безопасности находят не только ради использования, но и для защиты от злонамеренных действий. Ежедневно найденные уязвимости (CVE) и способы противодействия им публикуются на общедоступных ресурсах, посвященных кибербезопасности. Это позволяет предотвратить угрозы, своевременно выпускать обновления программного обеспечения», — отмечает Иван Иванов, генеральный директор компании-разработчика отечественного ПО «Апрель Инновации».
Но в этом кроется достаточно большая опасность — ведь грань между «белым» и «черным» хакингом очень тонка.
«С точки зрения Уголовного кодекса любое несанкционированное вторжение в компьютерную систему — уже преступление, независимо от последующих благих намерений. Поэтому белые хакеры десятилетиями работают в "серой зоне" на свой страх и риск, под девизом "незнание закона не освобождает от ответственности"», — поясняет Саид Гафуров, член Центрального совета Независимого профсоюза «Новый труд» (кандидат экономических наук, доцент МГЛУ и РГСУ).
Ценные кадры
Илья Сайфулин, профессиональный юрист, ИТ-специалист, политолог, уверен, что в условиях жесткого дефицита кадров и кибератак власть просто не может себе позволить разбрасываться такими ресурсами.
«Новый законопроект — это попытка государства заключить с ИТ-специалистами общественный договор. Правила просты: если ты работаешь официально по приглашению компании, не воруешь данные, а просто находишь уязвимость и сдаешь отчет — ты легальный специалист», — говорит он.
Новый пакет мер как раз направлен на то, чтобы навести порядок в «серой» зоне. Как объясняет Саид Гафуров, речь идет о четком юридическом разграничении. Но сложность в том, что пентестеры почти не отличаются от злоумышленников ни по действиям, ни по инструментам, поэтому в документах как раз и предлагается дать четкое юридическое определение тому, что такое «мероприятие по поиску уязвимостей».
«Подход предполагает создание целой системы инструментов и площадок для публичного тестирования информационных систем. Проще говоря, предлагается создать официальные "полигоны", где хакеры могли бы легально искать уязвимости в строго оговоренных рамках», — рассказывает Саид Гафуров.
Ключевая новация доработанного законопроекта — закрепление за силовыми структурами надзорных функций. Регулирование деятельности «белых хакеров» предлагается возложить на ФСБ, ФСТЭК и Национальный координационный центр по компьютерным инцидентам (НКЦКИ). При этом именно ФСБ будет уполномочена определять квалификационные требования к специалистам и формировать единые стандарты работы для всех игроков рынка.
«Как следствие, планируется создание официального реестра аккредитованных специалистов — те, кто в него не попадет, не смогут легально заниматься такой деятельностью», — говорит Саид Гафуров.
Негарантия защиты
И все-таки главный вопрос остается открытым: позволят ли изменения юридически разграничить деятельность и вывести хакеров из серой зоны? Саид Гафуров считает, что с юридической точки зрения — да.
«Появится формальное определение деятельности, реестр, разрешенные площадки и процедуры. Если исследователь зарегистрирован, соблюдает установленные правила и передает данные о найденных уязвимостях по регламенту (в том числе в ФСБ), то его действия де-юре будут считаться законными. Это и есть "разграничение"», — комментирует ситуацию он.
Но это не 100% гарантия защиты от различных рисков.
«Серая зона» не исчезнет, а только сместится: вне установленных "экосистем" и без аккредитации деятельность по-прежнему будет, мягко говоря, нежелательной и потенциально уголовно наказуемой», — отмечает Гафуров.
С ним согласен и Илья Сайфулин. Он говорит о том, что соблазн продать важную уязвимость в даркнет вместо официального отчета будет всегда высоким.
«И никакой искусственный интеллект эту проблему контроля не решит. ИИ отлично справляется с рутиной, но взлом — это всегда человеческая хитрость и обход логики. Таким образом, в этой цифровой гонке вооружений государство по-прежнему будет делать ставку на живых людей», — говорит он.
Потеря анонимности
Есть еще одна серьезная проблема: далеко не все IT-специалисты готовы переходить на «белую» сторону. И тому есть понятное объяснение.
«Реестр и контроль со стороны спецслужб могут привести к потере анонимности, невозможности въезда в другие страны и прочим рискам, а это способно просто убить инициативу на корню. К тому же, по опросам, только 39% специалистов в этой сфере оценивают свою правовую защищенность как высокую, что говорит о глубоком недоверии к текущей регуляторике», — добавляет Саид Гафуров.
Получается, что спрос на специалистов, которые могут предотвратить кибератаки, на рынке крайне высок. Ни компаниям, ни государству в цифровую эпоху без них не выжить. Но вот только идти в эту сферу хакеры не стремятся.
«Есть и мнение, что под видом "разграничения" государство стремится не столько помочь, сколько установить тотальный контроль за деятельностью всех специалистов в сфере кибербезопасности, чтобы централизовать даже работу независимых исследователей», — поясняет Саид Гафуров.
Александр Киселев, патентный поверенный UserGate, видит следующий выход из ситуации — необходима государственная регистрация специалистов по анализу защищенности и пентесту с допуском к соответствующим видам работ после сдачи квалификационного экзамена, включающего правовые и этические аспекты деятельности.
Предложение хорошее, вот только согласятся ли хакеры сдавать экзамены и не подделают ли их результаты — вопрос открытый. В любом случае, какие бы нормы ни приняли — необходимость в них назрела давно. Главное, чтобы они не были излишне жесткими, иначе кадровый вопрос будет стоять еще острее.
Изображение создано Magnific, www.magnific.com
