Законопроект о белых хакерах вызвал вопросы у силовиков

Принятие законопроекта о белых хакерах может быть отложено, выяснили «Ведомости». Инициатива публично обсуждается с лета 2022 г. Минцифры тогда занялось проработкой возможности ввести понятие bug bounty (поиск уязвимостей в ПО за вознаграждение) в правовое поле. В законопроекте речь идет, в частности, об изменениях в ст. 272 УК РФ «Неправомерный доступ к компьютерной информации», говорит собеседник «Ведомостей» в одной из компаний по кибербезопасности, знакомый с документом.

Эта статья подразумевает незаконное получение доступа к охраняемой законом компьютерной информации, если эти действия повлекли, в частности, модификацию и копирование этой информации. Максимальная ответственность по данной статье – семь лет лишения свободы.

Движение законопроекта осложнилось из-за позиции ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю), рассказал «Ведомостям» источник, знакомый с ходом обсуждения поправок. О том, что ФСБ и ФСТЭК затягивают принятие законопроекта в существующем виде, знает также знакомый федерального чиновника, участвующего в обсуждении законопроекта.

«Ведомости» направили запрос в ФСБ и ФСТЭК. Представитель Минцифры отказался от комментариев.

По словам источника «Ведомостей», ФСБ и ФСТЭК неохотно идут на либерализацию положений УК и высказывали соответствующую позицию как минимум на одном совещании рабочей группы по законопроекту. По словам другого собеседника «Ведомостей», знающего об этом непосредственно от участника обсуждения, позиция обоих ведомств выражалась их сотрудниками на рабочих совещаниях по законопроекту в Минцифры.

«Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая. А менять УК никто не будет», – добавил один из собеседников.

В настоящий момент программы выплат белым хакерам, которые на договорной основе тестируют информационные системы на наличие уязвимостей, есть у трех российских компаний: Positive Technologies, «Синклит» и BI.ZONE.

Советник генерального директора Positive Technologies Артем Сычев сказал «Ведомостям», что компания участвует в обсуждении и проработке законодательных инициатив, которые направлены на легализацию и упрощение деятельности этичных хакеров. «Мы однозначно заинтересованы в принятии этого законопроекта, так как он позволит активизировать тех исследователей, которые опасаются каких-либо правовых последствий», – объяснил он. По словам Сычева, за девять месяцев работы bug bounty платформы компании белые хакеры получили выплаты на сумму более 15 млн руб.

Технический директор «Синклита» Лука Сафонов сообщил, что компания не участвовала в обсуждении инициативы о белых хакерах, но такой законопроект определенно нужен. «Сейчас действия пентестеров уязвимы с точки зрения уголовной ответственности, их могут квалифицировать и как «неправомерный доступ к информации», – пояснил он. – Если еще докажут какой-либо сговор, то исследователь может получить срок до семи лет колонии». Если при этом также будет доказано, что белые хакеры создали или использовали специальный софт, заведомо предназначенный для нейтрализации защиты охраняемой информации, ее уничтожения или же копирования, то они могут получить наказание еще и по ст. 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ») – также до семи лет.

«Инициатива может встретить противодействие со стороны силовых ведомств – именно в части возможной легализации компьютерных преступлений», – рассуждает Сафонов. В то же время, по его словам, не факт, что законопроект устроит самих пентестеров: если в нем будут положения о создании какого-либо реестра белых хакеров, лицензировании физлиц, то это потребует от исследователей выйти из тени, к чему многие из них определенно не готовы.

«Ведомости» также направили запрос в BI.ZONE.

Оптимизма компаний по кибербезопасности по законопроекту о белых хакерах не разделяют опрошенные «Ведомостями» юристы.

По мнению адвоката Максима Маценко, руководителя уголовной практики Vinder Law Office, как таковой проблемы в уязвимости белых хакеров не существует, поскольку в самом названии ст. 272 УК РФ содержится понятие «неправомерного доступа». «Участие же хакера в программе по поиску уязвимостей за деньги предполагает, что компании, принимающие участие в проекте, добровольно предоставляют свои сети для поиска уязвимостей. То есть действия белых хакеров, принимающих участие в программе, являются правомерными, что полностью исключает их уголовную ответственность при условии, что хакер не выходит за пределы своих прав», – считает юрист.

По словам вице-президента Гильдии российских адвокатов Евгения Корчаго, у Минцифры мало шансов довести законопроект до внесения в Госдуму. По его словам, в случае с принятием поправок в УК важно, кто является инициатором. Как правило, поправки в УК проходят, если их внесение инициировал президент РФ либо профильные ведомства, т. е. Верховный суд или правоохранительные органы, пояснил он. «Предложения непрофильных ведомств, в этом случае Минцифры, обычно умирают на этапе законопроекта», – сказал юрист.

По словам Корчаго, сейчас в УК есть целый ряд статей, под которые может подпадать деятельность белых хакеров. В их числе «неправомерный доступ к компьютерной информации», «создание, использование и распространение вредоносных компьютерных программ», «нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации» и др., перечислил он. Чтобы легализовать белых хакеров, придется делать примечания к действующим статьям УК и прописывать, что их действия не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции, считает он. Но формально это все равно будет преступное деяние и в случае спорных ситуаций правоохранительные органы будут давать оценку, является конкретное действие социально значимым или нет, заметил он.

Законопроект по своей сути предлагает легализовать противоправную деятельность, соглашается с ним партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов. Принятие таких поправок внесет еще больше дестабилизации в правоприменительную практику в отношении киберпреступлений, считает он. «Преступники начнут оправдывать свои действия предлагаемыми нормами, а общество получит ситуацию неконтролируемого развития несанкционированного доступа к информации и ее оборота», – пояснил Горбунов. Кроме того, самим белым хакерам придется работать в условии высочайших рисков привлечения к уголовной ответственности, например в случае получения доступа к информации, не предусмотренного договором с заказчиком, добавил юрист.