Top.Mail.Ru
/ «Белые» хакеры - что будет с направлением в России?

«Белые» хакеры - что будет с направлением в России?



12 декабря группа депутатов внесла на рассмотрение Госдумы законопроект по легализации «белых» хакеров.

 белые хакеры.png

По проекту предполагается, что пользователи, правомерно владеющие лицензионным экземпляром программного обеспечения, могут без разрешения на то правообладателя и без выплаты дополнительного вознаграждения изучать ее для выявления ошибок и уязвимостей. О найденных недостатках независимые исследователи должны будут сообщить правообладателю в течение 5ти рабочих дней. Передавать полученную в ходе исследования информацию третьим лицам законопроект запрещает.

Сегодня российским пентестерам до начала работ по тестированию информационных систем требуется огромное количество разрешений от правообладателя каждой программы, входящей в состав информационной системы.

Невыполнение обозначенных условий может повлечь за собой требование правообладателя программы возмещения убытков и выплаты компенсации в связи с нарушением авторских прав. При этом размер компенсации может доходить до 5 млн рублей.

К чему приведет принятие новых норм?

Законодатели в пояснительной записке пишут, что новая инициатива позволит «проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов».

Но это лишь то, что лежит на поверхности. Давайте попробуем рассмотреть процесс подробнее и разобраться, что может крыться за буквой закона.

За последний год госрегуляторы приняли большое количество нормативных актов в сфере кибербезопасности, и в частности в направлении безопасной разработки.

В совокупности с этими инициативами новый законопроект должен оказать положительное влияние в целом на безопасность разрабатываемого в России программного обеспечения.

Все эти мероприятия в комплексе, на наш взгляд, станут еще одним шагом в развитии безопасной разработки в нашей стране. Разработчики станут внимательнее относиться к своей работе и тому продукту, который они создают. Как минимум, будут стараться придерживаться принципов Secure by Design, как максимум – активно внедрять SDL-практики при создании программного обеспечения. Это позволит выпускать на рынок действительно качественный и безопасный продукт.

Единственное, чего не хватает в новом документе, так это структурно прописанной ответственности для правообладателя программы.

Мы видим, что у пентестеров при реализации инициативы ответственность появляется. Они должны сообщить о найденной уязвимости в программном обеспечении в срок не позднее 5ти рабочих дней после ее выявления.

Но на наш взгляд, было бы логично, если бы подобная ответственность появилась и у правообладателя программы. Например, в виде некоей реакции на найденную уязвимость или ответного письма исследователю с обозначением сроков устранения «дыры» в своем ПО.

Андрей цитата В ТЕЛЕГРАФ.png

Кроме того, есть вопросы к оплате труда «легализованных» хакеров. Мы знаем, что практика поиска уязвимостей независимыми исследователями отлично зарекомендовала себя во всем мире. Это положительных тренд, который иногда реализуется на добровольных началах и «голом» энтузиазме специалистов.

Однако, значительно чаще исследователи, случайно или намеренно нашедшие уязвимость в программном продукте хотят получить вознаграждение за свой труд, как минимум в виде общественного признания.

Учитывая существующую мировую практику вознаграждения труда «белых» хакеров можно было бы помечтать о такого рода взаимодействиях и в России, однако существующий общественный договор в данной отрасли пока, к сожалению, не дает возможности надеяться на то, что труд добровольцев, отыскивающих уязвимости, будет хотя бы просто признаваться компаниями-разработчиками, не говоря уже о том, что оплачиваться.

В данном проекте мы видим, что обязанность для правообладателя программы по выплате не прописана. И эта односторонняя ответственность, которая появится у свободных исследователей / «белых» хакеров может стать существенным минусом в реализации инициативы.

Пока закон еще не принят, поэтому будем следить за его обсуждением и возможными доработками.


18 декабря 2023
Поделиться
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация