12 декабря группа депутатов внесла на рассмотрение Госдумы законопроект по легализации «белых» хакеров.
По проекту предполагается, что пользователи, правомерно владеющие лицензионным экземпляром программного обеспечения, могут без разрешения на то правообладателя и без выплаты дополнительного вознаграждения изучать ее для выявления ошибок и уязвимостей. О найденных недостатках независимые исследователи должны будут сообщить правообладателю в течение 5ти рабочих дней. Передавать полученную в ходе исследования информацию третьим лицам законопроект запрещает.
Сегодня российским пентестерам до начала работ по тестированию информационных систем требуется огромное количество разрешений от правообладателя каждой программы, входящей в состав информационной системы.
Невыполнение обозначенных условий может повлечь за собой требование правообладателя программы возмещения убытков и выплаты компенсации в связи с нарушением авторских прав. При этом размер компенсации может доходить до 5 млн рублей.
К чему приведет принятие новых норм?
Законодатели в пояснительной записке пишут, что новая инициатива позволит «проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов».
Но это лишь то, что лежит на поверхности. Давайте попробуем рассмотреть процесс подробнее и разобраться, что может крыться за буквой закона.
За последний год госрегуляторы приняли большое количество нормативных актов в сфере кибербезопасности, и в частности в направлении безопасной разработки.
В совокупности с этими инициативами новый законопроект должен оказать положительное влияние в целом на безопасность разрабатываемого в России программного обеспечения.
Все эти мероприятия в комплексе, на наш взгляд, станут еще одним шагом в развитии безопасной разработки в нашей стране. Разработчики станут внимательнее относиться к своей работе и тому продукту, который они создают. Как минимум, будут стараться придерживаться принципов Secure by Design, как максимум – активно внедрять SDL-практики при создании программного обеспечения. Это позволит выпускать на рынок действительно качественный и безопасный продукт.
Единственное, чего не хватает в новом документе, так это структурно прописанной ответственности для правообладателя программы.
Мы видим, что у пентестеров при реализации инициативы ответственность появляется. Они должны сообщить о найденной уязвимости в программном обеспечении в срок не позднее 5ти рабочих дней после ее выявления.
Но на наш взгляд, было бы логично, если бы подобная ответственность появилась и у правообладателя программы. Например, в виде некоей реакции на найденную уязвимость или ответного письма исследователю с обозначением сроков устранения «дыры» в своем ПО.
Кроме того, есть вопросы к оплате труда «легализованных» хакеров. Мы знаем, что практика поиска уязвимостей независимыми исследователями отлично зарекомендовала себя во всем мире. Это положительных тренд, который иногда реализуется на добровольных началах и «голом» энтузиазме специалистов.
Однако, значительно чаще исследователи, случайно или намеренно нашедшие уязвимость в программном продукте хотят получить вознаграждение за свой труд, как минимум в виде общественного признания.
Учитывая существующую мировую практику вознаграждения труда «белых» хакеров можно было бы помечтать о такого рода взаимодействиях и в России, однако существующий общественный договор в данной отрасли пока, к сожалению, не дает возможности надеяться на то, что труд добровольцев, отыскивающих уязвимости, будет хотя бы просто признаваться компаниями-разработчиками, не говоря уже о том, что оплачиваться.
В данном проекте мы видим, что обязанность для правообладателя программы по выплате не прописана. И эта односторонняя ответственность, которая появится у свободных исследователей / «белых» хакеров может стать существенным минусом в реализации инициативы.
Пока закон еще не принят, поэтому будем следить за его обсуждением и возможными доработками.