«Ведомости» узнали о задержках с законопроектом о «белых хакерах» из-за силовиков
Обсуждение законопроекта о «белых хакерах» застопорилось из-за позиции ФСБ и ФСТЭК, выяснили «Ведомости». Службы возражают против либерализации положений Уголовного кодекса, связанных с неправомерным доступом к информации. Принятие законопроекта может быть отложено, считают собеседники газеты
Принятие законопроекта о «белых хакерах» может быть отложено из-за недовольства ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю) предлагаемыми Минцифры изменениями в Уголовный кодекс. Об этом пишут «Ведомости» со ссылкой на собеседников, знакомых с ходом обсуждения проекта, и источники в компаниях по кибербезопасности.
Минцифры с лета 2022 года пытается ввести в правовое поле понятие bug bounty. Так называют поиск уязвимостей в программном обеспечении (ПО) за вознаграждение, который ведут «белые хакеры». Собеседник в одной из компаний по кибербезопасности, знакомый с документом, рассказал, что законопроект, в частности, предлагает внести изменения в статью 272 Уголовного кодекса о неправомерном доступе к компьютерной информации. Максимальное наказание по этой статье — семь лет лишения свободы. Ответственность наступает, в том числе, если незаконный доступ повлек за собой модификацию и копирование компьютерной информации.
Собеседник, знакомый с ходом обсуждения поправок, рассказал, что продвижение законопроекта в существующем виде практически приостановилось из-за позиции ФСБ и ФСТЭК. Эту же причину подтвердил знакомый федерального чиновника, участвующего в обсуждении законопроекта. Представитель Минцифры отказался от комментариев. По словам источника газеты, ФСБ и ФСТЭК выступают против либерализации положений УК и высказывали соответствующую позицию как минимум на одном совещании рабочей группы по законопроекту.
Другой собеседник, знающий об этом от участника обсуждения, рассказал, что позиция ФСБ и ФСТЭК выражалась их сотрудниками на рабочих совещаниях по законопроекту в Минцифры. Один из источник газеты констатировал, что менять УК «никто не будет». «Грань между уголовно наказуемыми действиями и легальными, а также между ответственностью исследователя и ответственностью владельца системы очень зыбкая», — сказал этот собеседник.
Сейчас программы выплат «белым хакерам», которые на договорной основе тестируют информационные системы на наличие уязвимостей, есть у трех российских компаний — Positive Technologies, «Синклит» и BI.ZONE. Советник гендиректора Positive Technologies Артем Сычев сказал, что законопроект позволит «активизировать тех исследователей, которые опасаются каких-либо правовых последствий, а компания участвует в его обсуждении. По словам Сычева, за девять месяцев работы bug bounty платформы компании «белые хакеры» получили выплаты на сумму более 15 млн рублей.
Технический директор «Синклита» Лука Сафонов сказал, что компания не участвовала в обсуждении инициативы о «белых хакерах», но такой законопроект определенно нужен. Кроме статьи 272 УК, «белые хакеры» рискуют получить наказание еще и по статье 273 («Создание, использование и распространение вредоносных компьютерных программ»), добавил собеседник. Сафонов полагает, что инициатива может встретить противодействие силовых ведомств «в части возможной легализации компьютерных преступлений». По его словам, законопроект может не устроить и самих пентестеров — в случае, если потребует от исследователей выйти из тени, к чему многие из них определенно не готовы.
По словам адвоката Максима Маценко, руководителя уголовной практики Vinder Law Office, проблемы уязвимости «белых хакеров» не существует. Участие хакера в программе по поиску уязвимостей за деньги предполагает, что компании, принимающие участие в проекте, добровольно предоставляют свои сети для поиска уязвимостей, объясняет он. Это полностью исключает уголовную ответственность при условии, что хакер не выходит за пределы своих прав, отметил юрист.
По словам вице-президента Гильдии российских адвокатов Евгения Корчаго, в случае с принятием поправок в УК важно, кто является их инициатором. «Предложения непрофильных ведомств, в этом случае — Минцифры, обычно умирают на этапе законопроекта», — отметил юрист. Законопроект по своей сути предлагает легализовать противоправную деятельность, сказал партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов. Принятие таких поправок внесет еще больше дестабилизации в правоприменительную практику в отношении киберпреступлений, полагает он.