Хакеров в России разделят на категории. Одним будут платить миллионы, других упекут в тюрьму на всю жизнь
В России меняется отношение властей к киберпреступникам. Одних они хотят приравнять к террористам и бросать в тюрьму на всю жизнь, других – напротив, легализовать. Последнее относится к «белым» хакерам – государство намерено вынести их деятельность за пределы сферы влияния УК РФ в ближайшие месяцы. Российским силовикам это не по нраву.
Белая шляпа спасет от неба в «хештегах»
Российские власти намерены пересмотреть свое отношение к «белым» или «этичным» хакерам – взломщикам, которые вскрывают системы и сервисы не по злому умыслу, а по просьбе и за деньги владельцев этих сервисов, и иногда и бесплатно, чтобы указать им на уязвимости. Сейчас их деятельность никак не регулируется законом, но многие их деяния могут быть классифицированы сразу по нескольким статьям УК РФ. Более того, обычных хакеров, которые ломают госсистемы и сервисы, те же власти хотят приравнять к террористам – согласно нынешнему законодательству, таких преступников можно приговаривать к пожизненному заключению.
Как пишут «Известия», в самом ближайшем будущем в Госдуму будет внесен законопроект, облегчающий деятельность «белых» хакеров, чьим символом является белая шляпа, и легализующий их на территории России. Это не только упростит им жизнь – российские компании тоже получат свои «плюшки», ведь они смогут легально работать с ними, покупая их услуги.
По информации издания, законопроект, как только он превратится в закон, разрешит «этичным» хакерам тестировать системы и сервисы на защищенность от взлома и проникновения. Тут важно отметить, что им ничего не запрещает делать это сейчас – более того, в России существует несколько суверенных площадок багбаунти, где компании и даже госструктуры, например, Минцифры, заказывают услуги «белых» хакеров. Также среди заказчиков есть и крупнейшие российские ИТ-гиганты – «Яндекс», холдинг VK, банк «Тинькофф» и маркетплейс Ozon, заявил изданию один из авторов законопроекта, депутат Антон Немкин.
Однако при всем этом в правовом поле страны само понятие «баг баунти» (Bug Bounty, вознаграждение за поиск «дыр» и уязвимостей в ПО) отсутствует, что делает работу «белых» хакеров на территории России весьма рискованной. CNews писал – они открыто говорят, что боятся уголовного преследования.
Закон от партии власти
Авторами нового законопроекта, как пишут «Известия», являются депутаты от фракции «Единая России». В разработке документа им помогали их коллеги из фракции «Новые люди».
Законопроект представляет собой поправки к действующему федеральному закону 16-ФЗ «Об информации, информационных технологиях и о защите информации». По плану депутатов, документ будет рассмотрен нижней палатой парламента до конца весенней сессии, вот только в 2024 г. закончится она вовсе не весной и даже не начале лета, а лишь 9 августа 2024 г.
Среди тех, кто принимает участие в обсуждении документа, есть и Минцифры. Представители ведомства подтвердили изданию этот факт.
Текст законопроекта описывает основные сценарии сотрудничества компаний с «белыми» хакерами. Это и прямой контракт, так и взаимодействие посредством программы багбаунти.
Силовики недовольны
Важно отметить, что российские силовики против легализации «белых» хакеров. Как сообщал CNews, они единым фронтом выступили против этой инициативы еще в конце 2023 г. Против легализации «белых» хакеров совместно выступают Министерство внутренних дел и Генпрокуратура России, а также Следственный комитет. Все они утверждают, что никакие поправки в УК РФ, которые могли бы легализовать этичных хакеров, вносить не нужно.
По сути, силовики выступили против инициативы Минцифры – ведомство еще весной 2022 г. начало продвигать идею легализации таких специалистов. В марте 2022 г. оно выступило с идеей по финансовой поддержке этичных хакеров, а в июле 2022 г. от него поступило предложение по их легализации.
Риски не оправданы
В современной России, пока новый законопроект не стал частью ее законодательства, «этичные» хакеры очень рискуют, выполняя свою работу. Над ними постоянно висит угроза как уголовной, так и административной ответственности. Такого мнения придерживается, в том числе, управляющий партнер экспертной группы Veta Илья Жарский.
Он сообщил изданию, что «белым» хакерам лучше всего иметь все необходимые письменные разрешения на взлом от владельцев системы или сервиса, с которыми они договорились о сотрудничестве. Эти документы очень пригодятся, когда деятельностью хакеров заинтересуются правоохранительные органы. По словам Жарского, новый законопроект обеспечит и самим хакерам, и их клиентам «больше свободы для реализации защиты своих систем и охраны личных данных пользователей, баз данных госведомств и остального заинтересованного в этих поправках бизнеса», пишут «Известия».
Террористы и миллионеры
В настоящее время «белые» хакеры в России зарабатывают десятки и сотни тысяч рублей, а иногда и миллионы – сумма их гонорара в первую очередь зависит от платежеспособности клиента. Свою роль также играет и опасность уязвимости, которую нашли хакеры – чем более критична «дыра», тем, как правило, им больше им заплатят.
В 2023 г. холдинг VK, ранее известный как Mail.ru Group, выплатил «этичным» хакерам более 34 млн руб. за 1500 отчетов – специалисты искали бреши в большинстве сервисов компании, включая Skillfactory, а также в смарт-колонке «VK Капсула».
Несмотря на то, что «белые» хакеры до сих пор не легализованы в России, отечественные компании все охотнее пользуются их услугами и готовы тратить на них гораздо больше денег, нежели два года назад и даже год назад. Яркий пример тому – интернет-гигант «Яндекс», расходы которого на выплаты «этичным» хакерам по итогам 2023 г. достигли 70 млн руб. – это более чем в два раза больше, чем в 2022 г. В 2024 г. интернет-гигант выплатит хакерам, по меньшей мере, 100 млн руб.
У «Яндекса» даже есть собственная программа поощрения «белых» хакеров под названием «Охота за ошибками», в которой, по результатам 2023 г., приняли участие почти 530 взломщиков. За отчетный период они отправили «Яндексу» около 740 отчетов об уязвимостях, из которых 378 оказались уникальными – нашедшие их эксперты получили свои деньги.
Также «белые» хакеры сотрудничают напрямую с государством. Как сообщал CNews, в начале 2023 г. Минцифры инициировало программу по поиску «дыр» на сайте «Госуслуг». Проект Минцифры привлек более 8,4 тыс. белых хакеров со всей страны. Тестирование проходило на платформах Bi.Zone Bug Bounty и Standoff 365, принадлежащей Positive Technologies.
При этом взлом «Госуслуг», даже согласованный с Минцифры, может обернуться для хакеров пожизненным заключением. CNews писал, что в середине марта 2024 г. зампред комитета Госдумы по информполитике, ИТ и связи Андрей Свинцов (партия ЛДПР) лично предложил расценивать взлом сайтов госорганов и государственных же онлайн-сервисов как терроризм. Портал госуслуг он привел в качестве одного примеров госресурсов, за взлом которых киберперступника следует квалифицировать как реального террориста.
На момент выхода материала инициатива Свинцова оставалась на уровне идеи. Но пока что существует вероятность, что она превратится в законопроект, а затем и в закон, и нельзя исключать, что случится это быстрее, чем будет подписан законопроект о легализации «белых» хакеров».