13 декабря 2023 г.

Законопроект, который предлагает внесение поправок в статью 1280 части четвертой Гражданского кодекса РФ для легализации деятельности «белых» хакеров в России, внесен в Госдуму.

Первый из пакета законопроектов, направленных на легализацию деятельности «белых» хакеров в России, внесен в Госдуму. Авторы законопроекта — представители партийного проекта «Цифровая Россия» Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев — предлагают внести ряд поправок в статью 1280 части четвертой Гражданского кодекса РФ.

Сегодня для проведения тестирования защищенности систем российских компаний «белым» хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав. В таком случае «белых» хакеров могут обязать выплатить компенсации в размере от 10 тысяч рублей до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы.

Исходя из этого законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ или экземпляром базы данных, в целях выявления его уязвимостей для исправления явных ошибок.

Также этот процесс можно поручить иным лицам при соблюдении ряда условий: выявление уязвимостей осуществляется исключительно в отношении экземпляров программ для ЭВМ и базы данных, функционирующих на технических средствах пользователя; передавать информацию о выявленных пробелах можно только правообладателю или тем, кто будет искоренять эти уязвимости, если иное не установлено законом.

Согласно законопроекту, «белые» хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, за исключением случаев, если установить его место нахождения, место жительства или адрес для переписки не удалось.

Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов.

Россия сегодня является одним из лидеров в области развития цифровых технологий, однако наше законодательство пока не соответствует современным тенденциям — там отсутствует возможность тестирования цифровых сервисов на предмет уязвимостей, подчеркивает первый заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи Антон Ткачев. «Выглядит это так — владелец сервиса нанимает тестировщика, условного „хакера“, который должен выяснить все слабые места и предоставить по ним отчёт. Казалось бы, это необходимые действия для работы цифрового продукта, однако законодательством предусмотрена уголовная ответственность за такие действия. Необходимо предусмотреть возможность таких действий, чтобы все тестовые „взломы“, являющиеся необходимым элементом безопасности вышли из серой зоны», — сказал он.

Первый заместитель председателя Комитета по региональной политике и местному самоуправлению, координатор партийной проекта «Цифровая Россия» в Московской области Геннадий Панин также отмечает — если по действующим нормам законодательства можно тестировать программу только для обеспечения общей работоспособности и адаптации под свои нужды применения, то поправки помогают сделать ставку на обеспечение информационной безопасности. «Так, предоставляется право вносить правки без разрешения правообладателя соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов и без вознаграждения ему. То есть, правомерно владея программой, пользователь не только сможет донастраивать продукт, но и исследовать со стороны безопасности — тестировать, насколько уязвимо, вносить требуемые изменения. Считаем, это особенно важно в условиях сложившейся ситуации цифровых угроз со стороны недружественных стран, намеренных и случайных утечек данных. Конечная цель — повышение информационной безопасности в части изучения программ, тестирования», — добавил он.

Работа «белых» хакеров должна стать сегодня таким же обыденным и необходимым инструментом как, например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки различных сторон ведения бизнеса по заказу самих предпринимателей, уверен один из авторов законопроекта, член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «Сегодня государственным органам и корпорациям, которые зачастую и сами имеют собственный штат квалифицированных ИT-специалистов, важно систематически привлекать „белых“ хакеров как независимых профессионалов, которые со своей стороны проверят безопасность информационных систем и либо убедятся в их надежности, либо выявят уязвимости и дадут рекомендации по их устранению. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам — в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы. В таких условиях аудит уязвимости систем силами „белых“ хакеров должен быть не просто систематическим, а постоянным. Тестируя ИT-системы на прочность, „белый“ хакер действует по поручению и с согласия владельца такой системы и не совершает чего-либо незаконного. Наша цель — добиться того, чтобы это было закреплено в законодательстве, а сами специалисты получили больше свободы для своей работы на благо государства», — отмечает депутат.

«На фоне увеличившегося количества атак на российские информационные системы, наша страна нуждается в регулировании, которое выведет работу с такими специалистами в правовую плоскость. „Белые“ хакеры работают на то, чтобы определить логику потенциальных хакеров-преступников, модифицировать уязвимые места и усилить защиту информационных систем и ресурсов. Поэтому такие специалисты должны быть защищены с точки зрения закона», — заключил Антон Немкин.

Источник: Пресс-служба депутата ГосДумы РФ Антона Немкина