Генеральная прокуратура, МВД и Следственный комитет РФ выступили против внесения поправок в Уголовный кодекс, легализующих создание и использование вредоносного софта так называемыми «белыми» хакерами по заданию заказчика, сообщает РБК. Обсуждение поправок прошло в Госдуме во вторник, 28 ноября. В ходе мероприятия начальник отдела информационной безопасности Генпрокуратуры Алексей Алборов отметил, в частности, что уголовное законодательство действует только в тех случаях, когда разработчик софта изначально создавал и использовал его для несанкционированного доступа к системам и причинения ущерба.
Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений, — указал представитель Генпрокуратуры.
В свою очередь руководитель отдела по расследованиям киберпреступлений Главного следственного управления Константин Комарды заявил, что несмотря на законодательную возможность привлечь к уголовной ответственности человека, который тестирует чью-либо информсистему на уязвимости, на практике этого никто не делает. По его словам, если специалист заключает договор или у него есть заявка на тестирование от правообладателя системы, его действия не образуют состава преступления.
«Белыми» хакерами называют IT-специалистов, которых компании самостоятельно привлекают к тестированию своих информационных систем на безопасность. Вопрос легализации подобной деятельности в РФ публично обсуждается с 2022 года, когда в Минцифры занялись проработкой возможности введения в правовое поле понятия «bug bounty» — поиск уязвимостей в программном обеспечении за вознаграждение.
Ранее Совет по развитию цифровой экономики при Совете Федерации рекомендовал российскому Минцифры ускорить работу над законопроектом, призванным узаконить деятельность по поиску уязвимостей в программном обеспечении за вознаграждение и определить границы ответственности так называемых «белых» хакеров. Эти рекомендации содержатся в решении секции по технологическому суверенитету и информационной безопасности страны.