Що може загрожувати «білим» хакерам відповідно до закону та як убезпечитись від можливого покарання

Розвиток «білого» (етичного) хакінгу став логічним наслідком хакерських атак 2017 року (non-Petya, XData, WannaCry). Тоді постраждали понад 2000 компаній та звичайних громадян, було знищено мільйони гігабайтів даних.

Український бізнес врешті почав купувати пентести (penetration tests – перевірка можливості проникнення в ІТ-системи). На ринку все більше пропозицій від «білих» хакерів. Є й спроби впровадження Bug Bounty (програм для виявлення вразливостей за винагороду), як конфіденційних, так і публічних.

Однак поки це робиться не так вдало, як на Заході: винагороди неспіврозмірні можливим мільйонним втратам компаній та навіть смішні: мегабайти інтернету, чашка кави.

Серед ефективних програм, втім, відзначають ініціативи «ПриватБанку» та KUNA Exchange. Вже в цьому році чекаємо на Bug Bounty від «Нової пошти».

Державний сектор не такий прихильний до «білих» хакерів і реакція посадовців різниться. За підсумками флешмобу Українського кіберальянсу з перевірки кібербезпеки публічного сектору (#FuckResponsibleDisclosure) деякі державні установи дякують та усувають помилки, інші – заперечують факти і навіть можливість витоку даних з їх систем. Для прикладу, Херсонська облдержадміністрація навіть подала на дії білих хакерів скаргу до кіберполіції.

Однак не все так однозначно. Офіс ефективного регулювання BRDO (неурядова організація) вже тестує програму Bug Bounty для державних органів. Її ідея полягає в тому, щоб тестувати дзеркала сайтів, серверів, на яких відсутня інформація з обмеженим доступом.

Коротко кажучи, розвитку «білого» хакерства заважають стереотипи та низький рівень комп’ютерної грамотності. Відповідальних за ІТ-системи турбує не їх вразливість, а конкретний хакер, що «знахабнів» на неї вказати.

Що може загрожувати «білим» хакерам відповідно до законодавства

У багатьох випадках компанії та держструктури турбуються не про виявлений баг, а починають переслідувати хакера. Проблеми їм допомагає створити Кримінальний кодекс України (КК). Статті 361, 361-1, 361-2 формалістичні, не зовсім коректні та загрожують в’язницею.

Буквально, хакера можна притягнути до кримінальної відповідальності, якщо він зробив хоч одне з переліку:

• зламав та отримав доступ до системи, сайту; 
• написав програму для цього; 
• поширив таку програму; 
• виклав в інтернеті в будь-якому вигляді інформацію, що була в обмеженому доступі, насамперед — документи органів державної влади.

Судова практика з приводу хакерів доволі різноманітна. Найбільш поширені вироки за злами систем або комп’ютерів та створення і розповсюдження вірусних кодів.

Враховуючи формалізм статей і правозастосовну практику, «білий» хакінг є ризиковою діяльністю, яка може призвести до кримінальної відповідальності, навіть у вигляді позбавлення волі.

Як убезпечитись

Щоб чесні хакери та фахівці з пентестів могли спокійно перевіряти кібербезпеку і не думали про можливу перспективу відкриття кримінального провадження, ми пропонуємо три базових правила. 

1. Дозвіл (Договір/Контракт). Випробовувати кібербезпеку можна лише з дозволу безпосереднього клієнта – установи, компанії. Це може бути Bug Bounty програма або прямий договір про надання послуг з інформаційної безпеки.

Обов’язково перевірте повноваження клієнта дати дозвіл на втручання в систему; бажано визначити період проведення тесту, умови, обмеження (наприклад, щодо доступу до даних), можливості відновлення роботи системи після тесту тощо. Чим детальніше буде технічне завдання – тим безпечніше для вас.

2. Жодних дій з даними. Дані клієнта лишаються клієнту: не копіюйте їх і навіть не завантажуйте, якщо у вас не підписано угоду про доступ до інформації – судова практика в окремих випадках може визнати це витоком інформації. Тим більше не слід викладати інформацію з обмеженим доступом (персональні дані, внутрішні документи державних органів, документи з комерційною таємницею) в Інтернет або надсилати чи демонструвати її іншим.

3. Уважно підбирайте програмні засоби. За ст. 361-1 для кримінальної відповідальності достатньо створити шкідливий програмний засіб (ШПЗ), поширити або переслати чужий шкідливий код. Який код є ШПЗ вирішує суд у кожній ситуації індивідуально на підставі спеціальної експертизи. Виходячи з судової практики та наукових коментарів, можна визначити загальні критерії ШПЗ:

• програма виконується автоматично,
• призначена для прихованого доступу без дозволу користувача,
• здійснюються несанкціоновані дії з даними, в чому і полягає шкода.

При створенні власної утиліти радимо передбачити обмеження можливості її використання для несанкціонованого доступу або в протиправних цілях чи обмежити доступ до неї.

Краще не використовувати загальнодоступні утиліти для проведення пентестів, якщо є сумніви в їх надійності. Самі утиліти можуть бути не зовсім законними. Окрім того, утиліта може приховувати щось, наприклад, може відбуватися збір даних для її безпосереднього розробника.

Враховуючи, що наведені правила є базовими, клієнти непередбачуваними, а життя набагато складніше, радимо звертатися до юристів для консультації або супроводу діяльності, щоб зламувати на благо.

Автор: Єлизавета Шрам, юрист AEQUO