IT-эксперт оценил планы по легализации в России «белых хакеров»
IT-эксперт Павел Мясоедов в разговоре с Рамблером рассказал о деятельности так называемых "белых хакеров" и оценил планы по их легализации в России.
Ранее член комитета Госдумы по информационной политике Антон Немкин разработал пакет законопроектов, направленных на легализацию в РФ деятельности "белых хакеров". Изменения предлагается внести в Уголовный и Гражданский кодексы, а также в Федеральный закон "Об информации, информационных технологиях и о защите информации". Немкин напомнил, что сейчас добросовестное тестирование защищенности информсистемы грозит исполнителям уголовной ответственностью.
На российском рынке существует энное количество предприятий и частных лиц, которые занимаются "белым хакингом". "Белый хакинг" - это действия, нацеленные на сканирование и взлом системы, санкционированные компанией или любой другой организацией, которая заказывает соответсвующие услуги. Иначе говоря, "белый хакер" по заказу пытается найти уязвимости и "положить" информсистему, чтобы потом этого не смог сделать "черный хакер", чтобы компания исправила и залатала эти бреши. Такая практика существует давно. Юридически она более-менее узаконена в рамках так называемых отделов киберраследований в некоторых крупных IT-компаниях, которые занимаются информбезопасностью. Эти отделы занимаются киберраследованиями, но по факту они, в том числе, пытаются и "завалить" систему. Также существуют так называемые пентесты [penetration tests] - это тоже попытки найти уязвимости, но там работа производится немного в другом ключе. Но так или иначе что-то похожее на "белый хакинг" там тоже происходит. И вот чтобы все это ввести в правовое поле, чтобы деятельность таких специалистов не воспринимались как преступная, хотят принять соответствующий закон.
Павел МясоедовДиректор и партнер компании «Интеллектуальный резерв», эксперт по кибербезопасности
С учетом количества рисков в IT-отрасли, связанных с информбезопасностью, и большого числа случаев взломов и утечек требуется принятие быстрых мер, отметил эксперт.
"Сейчас нашим компаниям и стране в целом требуется защита от внешних угроз. Поэтому легализация сферы "белого хакинга" - это правильный шаг, поскольку это достаточно эффективный инструмент. Такую меру нужно запускать, потому что "белый хакинг" в том или ином виде существует во всем мире", — отметил специалист.
Вместе с тем Мясоедов высказался о наличии рисков, связанных с легализацией "белых хакеров".
""Белый хакинг" - это все равно хакинг. Все равно речь идет о людях, у которых есть понимание, как выводить из строя информсистемы. Многие "белые хакеры" когда-то были "черными хакерами". Поэтому, конечно, есть риски, что что-то пойдет не так. Но здесь надо помнить, что никто не отменял такую науку как менеджмент. Нужно уметь правильно управлять людьми - давать им правильные инструкции, следить за их деятельностью. Может быть, они ["белые хакеры"] могут быть как-то сертифицированы. То есть здесь требуется комплексная работа, чтобы все это не пошло не в ту сторону, чтобы эти люди были прозрачны, чтобы они были официально трудоустроены, чтобы их деятельность регулировалась. В этом случае риски будут минимизированы. Сейчас "белые хакеры" находятся в правовой плоскости на птичьих правах, и это палка о двух концах. Они могут в любой момент "взбрыкнуть" и заняться чем угодно. А с учетом того, что они не находятся в правовой плоскости - пойди потом докажи, что них были официальные взаимоотношения с какой-то компанией", — заключил эксперт.
Хакерская группировка Sticky Werewolf ("Липкий оборотень") ранее атаковала российские и белорусские госорганизации, передавало издание "Известия".