25 апреля 2024

Этичному хакингу нужен закон: как защитить «белых» хакеров от угрозы преследования

Пробелы в законодательстве мешают российскому бизнесу привлекать «белых» хакеров для поиска уязвимостей в своих системах. Необходимость установить правила работы «белых» хакеров, которые помогают проверять кибербезопасность компаний и госструктур, обсуждается с лета 2022 года. В конце 2023 года в Госдуму внесен законопроект — первый кирпич в фундаменте регулирования этой сферы. Генеральный директор Innostage Айдар Гузаиров в колонке для Forbes рассуждает о том, почему он не устраняет все правовые лакуны и какие проблемы еще нужно решить

Появление подобного законопроекта — безусловно, важное событие для сферы информационной безопасности (ИБ). Поправки в Гражданский кодекс разрешают внешним специалистам при поиске уязвимостей в информационных системах и IT-инфраструктурах изучать их компоненты (программное обеспечение) без получения специального разрешения от каждого правообладателя. Сейчас такие действия расцениваются как нарушение авторских прав, что препятствует проведению анализов защищенности (проверка, при которой моделируется реальная атака).

Однако документ не устраняет все законодательные пробелы. Необходимо урегулировать целый комплекс проблем, связанных с оценкой защищенности информационных ресурсов бизнеса и госорганов.

 

Почему это важно

В 2023 году число кибератак на российские информационные системы выросло на 65% по сравнению с предыдущим годом. Наиболее опасные инциденты связаны, как правило, с атаками международных хакерcких группировок. Они обнаруживают уязвимости в IT-системах и цифровых сервисах, прибегая к новейшим технологиям киберразведки. Их тактика постоянно меняется, а инструменты совершенствуются.

Чтобы противостоять таким угрозам, нужно привлекать специалистов сопоставимого уровня — этичных хакеров, которые могут составить конкуренцию киберпреступникам. Они используют схожую логику и новейшие инструменты при исследовании систем организации и могут первыми обнаружить уязвимость, которая могла бы привести к неблагоприятным последствиям в будущем.

Есть две модели работы с «белыми» хакерами — пентесты и программы баг-баунти (Вug Вounty, программы по поиску уязвимостей). Пентесты — проникновение в IT-инфраструктуру для действий по заранее оговоренным сценариям, имитирующим поведение злоумышленников. Такие проверки проводят специализированные компании или привлеченные специалисты, и этот процесс конфиденциальный.

А в программах баг-баунти участвует широкий круг независимых исследователей безопасности, готовых сообщать компании о найденных уязвимостях, получая за это заранее анонсированное вознаграждение. О таких программах объявляют открыто. Для проведения баг-баунти есть специальные платформы, в России их три: bugbounty.ru, а также платформы компаний Positive Technologies и BI.ZONE.

Сегодня программы баг-баунти проводят «Яндекс», Ozon, VK, «Тинькофф» и другие крупные компании. В прошлом году к движению за этичный хакинг присоединились государственные ведомства. На первом этапе программы, инициированной Минцифры, участники проверяли на прочность «Госуслуги» и Единую систему идентификации и аутентификации. В итоге удалось найти 37 уязвимостей, бюджет программы составил почти 2 млн рублей. В ноябре прошлого года стартовал второй этап — в тестировании участвуют уже девять государственных сервисов и систем.

Есть прецеденты и в регионах: Московская и Ленинградская области в декабре 2023 года первыми запустили программы по поиску уязвимостей в своих инфраструктурах.

 

Баг-баунти в цифрах

Даже для компаний, специализирующихся на кибербезопасности, подготовка IT-инфраструктуры для публикации на платформе баг-баунти — ресурсозатратный и растянутый во времени процесс, занимающий несколько месяцев. Между тем программы баг-баунти — распространенная за рубежом форма проверки и повышения устойчивости информационных систем. Объем мирового рынка специализированных платформ в 2023 году составил $1,19 млрд и, по прогнозам, будет расти средними темпами (CAGR) на 16,3% ежегодно до 2032 года.

Российский рынок баг-баунти находится в стадии становления и еще очень мал — его объем в 2023 году не превысил 200 млн рублей (около $2 млн). В то время, как потери 300 российских крупных компаний в прошлом году оценивались в среднем в 20 млн рублей в год.

Развитие рынка услуг этичного хакинга сегодня сдерживают высокая, по мнению бизнеса, стоимость программ, ресурсозатратная процедура подготовки, а также ограничения действующего законодательства. Вместе с тем рост ущерба от кибератак постепенно заставляет бизнес и госструктуры выделять бюджеты на превентивные меры защиты и набираться опыта в запуске подобных проектов. Чтобы привлечь к повышению киберустойчивости бизнеса «белых» хакеров, необходимо популяризовать баг-баунти и снизить риски участия в и пентестах, а это возможно только при изменении законодательства.

«Бреши» в законе

Сегодня деятельность «белых» хакеров не запрещена, но и никак не регламентирована. К ним применяют те же правовые нормы, что и для киберпреступников. Из-за этого возникают проблемы.

В действующем законодательстве нет определения для специалистов по кибербезопасности, которые по заказу организации тестируют защищенность ее инфраструктуры, ПО и систем для выявления уязвимостей. Соответственно, не закреплены в правовом поле такие формы тестирования, как пентест и баг-баунти, не описаны их процедуры и инструменты. Правовая оценка деятельности «белых» хакеров неоднозначна, а риски высоки, вплоть до лишения свободы.

Источник: Forbes

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend