МОСКВА, 16 октября. /ТАСС/. Госдума приняла на пленарном заседании в первом чтении законопроект, направленный на легализацию в РФ деятельности так называемых белых хакеров.
Документ внесен в Госдуму в декабре 2023 года группой парламентариев, среди которых первый зампредседателя думского комитета по информполитике Антон Ткачев ("Новые люди") и член комитета Антон Немкин ("Единая Россия").
Поправки вносятся в статью Гражданского кодекса (ГК) РФ, которая регламентирует право пользователя программы для электронных вычислительных машин (ЭВМ) и базы данных. Так, предлагается установить, что пользователь, правомерно владеющий экземпляром такой программы, может без разрешения автора и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать ее функционирование в целях выявления недостатков для их безопасного использования. Эти действия также разрешается поручить другим лицам. При этом уточняется, что изучение, исследование или испытание программы могут проводиться только в отношении экземпляров программ для ЭВМ или базы данных, функционирующих на технических средствах пользователя. Кроме того, указывается, что выявленная пользователем информация о недостатках не может быть передана третьим лицам, за исключением правообладателя. Законопроект также уточняет, что при выявлении недостатков безопасного использования программы для ЭВМ необходимо сообщить о них правообладателю в течение пяти рабочих дней.
По действующим нормам, пользователь, правомерно владеющий экземпляром программы для ЭВМ, без разрешения автора и без выплаты вознаграждения может лишь осуществлять действия, необходимые для функционирования этой программы, а также изготовлять копию программы при условии, что она предназначена для архивных целей.
Как отмечают авторы инициативы, сегодня для проведения тестирования защищенности систем российских компаний "белым" хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. "Выполнение тестирования защищенности без таких разрешений может повлечь нарушение авторских прав соответствующих правообладателей и, соответственно, необходимость возмещения убытков или выплату компенсации в размере от 10 тыс. рублей до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы", - указывается в пояснительной записке к законопроекту.
Новые нормы позволят "проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов", указали авторы инициативы.
Польза для госорганов
По словам Немкина, на фоне увеличившегося количества кибератак государственным органам и компаниям уже мало просто иметь собственный штат IT-специалистов. "Важно систематически проводить аудит защищенности своих систем при помощи независимых профессионалов - так называемых пентестеров. Их работа должна стать сегодня такой же необходимой и систематической, как например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки бизнеса. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам", - отметил депутат, комментируя законопроект.