Следственный комитет, Генпрокуратура и МВД выступили против внесения поправок в Уголовный кодекс, легализующих создание и использование "белыми" хакерами вредоносного программного обеспечения (ПО) по заданию заказчика. Представители силовых ведомств сообщили об этом во время обсуждения поправок в Госдуме, передает РБК.
Вопрос легализации "белых" хакеров, которых компании привлекают для поиска уязвимостей в своем ПО, обсуждается в публичном поле с лета 2022 года, когда Минцифры занялось проработкой внедрения в законодательство понятия поиска уязвимостей в софте за вознаграждение (bug bounty). В феврале 2023-го глава комитета Госдумы по информполитике Александр Хинштейн призывал освободить от ответственности "белых" хакеров, действующих в интересах России. В марте "Ведомости" выяснили, что соответствующий законопроект застопорился из-за позиции ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК). В итоге акт до сих пор не внесен в парламент.
По данным агентства, документ предлагает предоставить "белым" хакерам возможность изучать и тестировать софт на уязвимости для их исправления, но обязать сообщать о находках правообладателю, который, в свою очередь, получит право привлекать сторонних специалистов к этому процессу. Правительство же, согласно законопроекту, сможет устанавливать требования к выявлению уязвимостей, тогда как сейчас их устанавливает заказчик.
Согласно позиции Генпрокуратуры, легализация "белых" хакеров не требуется, поскольку они не действуют против интересов правообладателя. Так, представитель Генпрокуратуры России Алексей Алборов в ходе обсуждения в ГД пояснил, что УК действует только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба.
"Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений", - сказал Алборов.
Следственный комитет считает так же. Глава профильного отдела ведомства Константин Комарды отметил, что юридически привлечь "белого" хакера к ответственности можно, но этого никто не делает.
"Если человек заключает договор или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления", - подчеркнул Комарды.
Он напомнил, что главным фактором для привлечения к ответственности остается наличие вины. По его словам, Следственный комитет изучил предлагаемые поправки в УК и пришел к выводу, что "они будут излишними". Представитель МВД поддержал позицию СК и ГП.