Эксперт: работа «белым хакером» может привести к уголовной ответственности
Любые пользователи, проверяющие компьютерные системы в России на безопасность, в том числе «белые хакеры», могут быть привлечены к уголовной ответственности за свою деятельность, заявил РИА Новости эксперт в области кибербезопасности и права, управляющий RTM Group Евгений Царев.
«Любое использование программ, так или иначе воздействующих на систему защиты компьютерной информации, может повлечь уголовное наказание. Под особой угрозой находятся лица, имеющие образование и опыт в сфере компьютерных технологий, поскольку предполагается, что они осведомлены о рисках использования такого ПО. Вообще, преступником может стать как айтишник, создающий программы для проверки интернет-платформ и сервисов на уязвимость, так и любой пользователь интернета, использующий сканеры сети или приложения для подбора паролей», — сказал Царев.
Он отметил, что программы для проверки на уязвимости используют все пентестеры (специалисты по анализу защищенности систем), причем половина из них – без применения договора или удаленно (из дома, например). «А это несколько сотен человек по стране. Но основная группа риска – более 10 тысяч студентов специальности ИБ и IT, которые применяют подобные инструменты бездумно. Практически каждый из них осуществляет сканирование по собственной инициативе хотя бы раз в год», — уточнил эксперт.
Таким образом, по словам эксперта, программы, которые по критериям подпадают под «нейтрализующие средства защиты» (сканеры, приложения дешифровки и тестирования средств защиты), находятся в серой зоне правового регулирования. Важно использовать только сертифицированное программное обеспечение.
«Самостоятельное использование сканеров и иных программ из интернета может быть расценено как преступление, поэтому лучше делегировать такую задачу профессионалам, занимающимся ИБ. Компании, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации, имеют опыт в данной сфере и понимают риски использования тех или иных программ», — отметил Царев.
По его словам, подходящим вариантом выявления уязвимостей является пентест, проведение которого требует грамотного составления договора. В документах важно детально определить предмет и границы такого тестирования, урегулировать риски и ответственность сторон. Это позволит провести легальное исследование безопасности и предотвратить угрозы взломов в будущем.