Кто и зачем сможет нанимать белых хакеров

В Госдуме предложили легализовать специалистов, которые взламывают информационные системы с согласия их же владельцев

Позволить компаниям легально нанимать кибервзломщиков, чтобы те искали бреши в защите их сервисов, а самих добросовестных тестировщиков избавить от риска получить штраф или сесть в тюрьму — такой пакет законопроектов разработали в Госдуме и обсуждают с Минцифры перед внесением. Привлечение белых хакеров позволит бороться с нарастающим числом киберпреступлений, но, привлекая таких специалистов, компаниям стоит все же перестраховаться — составить договор, предусматривающий все нюансы, и соглашение о неразглашении.

Только для этичных и законопослушных

Белые хакеры — по сути, специалисты по кибербезопасности, которые тестируют защищенность компаний с их же разрешения. Таких добросовестных взломщиков еще называют пентестерами, от английского penetration testing — «тестирование на проникновение». По согласованию с заказчиком они атакуют значимые сегменты инфраструктуры, как это сделали бы реальные киберпреступники. После этого компания получает отчет о слабых местах в защите и может закрыть все бреши и уязвимости. Бизнес в этом заинтересован.

Привлечение таких специалистов — стандартная практика. По его словам, чем больше информации государства и людей переходит в цифровой формат, тем больший интерес для преступников представляют IT-сервисы, из-за чего число киберинцидентов растет. Именно в решении этой проблемы и помогают услуги хакера.

Но иногда такие белые хакеры сами рискуют попасть под следствие. При проникновении в информационную систему они используют способы и инструменты, которые расходятся с отдельными положениями российского законодательства. Такие действия, даже если их исполняют с согласия обладателя информации и по его поручению, могут образовать состав преступления сразу по нескольким статьям Уголовного кодекса. Речь идет о наказаниях за неправомерный доступ к компьютерной информации, использование вредоносных компьютерных программ и нарушение правил эксплуатации информационно-телекоммуникационных сетей.

Кроме того, для тестирования защищенности исполнителям надо получить разрешения от правообладателей каждой программы, входящей в состав информационной системы, добавил парламентарий. Если этого не сделать, белого хакера могут привлечь к ответственности за нарушение авторских прав. Ему могут предписать выплатить правообладателю компенсацию, вплоть до двукратной стоимости права использования программы. За нарушение может наступить и уголовная ответственность, если стоимость права больше 100 тысяч рублей. А с учетом того что программы стоят недешево, такой риск есть.

Для того чтобы дать добросовестным специалистам, знакомым с российским законодательством и этикой, спокойно работать, разработали и готовят к внесению в Госдуму пакет законопроектов на эту тему, отметил депутат. Это будут поправки в Уголовный и Гражданский кодексы, а также в Федеральный закон «Об информации, информационных технологиях и о защите информации», в нем хотят закрепить возможность операторов информсистем заниматься поиском их уязвимостей не только силами своих работников, но и сторонних специалистов. При этом Правительство будет вправе устанавливать требования к порядку и условиям проведения таких мероприятии.

Доверяй, но договор составляй

С поиском белых хакеров у компаний возникнуть сложностей не должно. Профессия довольно популярна, так что найти специалистов можно и на обычных сайтах вакансий.

Другое дело, что нужно учесть все риски, компании следует аккуратно составить договор, чтобы хакер мог спокойно работать, а предприниматель не переживать, что тот может слить уязвимости или корпоративные данные в открытый доступ или конкурентам. «В частности, в договоре нужно четко прописать, какие способы тестирования может проводить хакер, обязаны ли присутствовать при проведении штатные сотрудники работодателя. Нелишним будет и подписать соглашение о неразглашении. Это снизит риск, что хакер передаст кому-либо секретные сведения.