Предложенные правительством новые меры против фрод-схем вызвали обеспокоенность среди специалистов, занимающихся защитой информационных систем. Участники отрасли полагают, что часть инициатив способна затруднить работу экспертов по выявлению уязвимостей. Это особенно касается инициативы, приравнивающей распространение данных о способах взлома к противоправному контенту.
Обновлённый проект, опубликованный 26 августа на портале regulation.gov по линии Минцифры, ориентирован на противодействие схемам социальной инженерии и телефонному обману. Однако внимание ИТ-сообщества привлекла другая часть документа. В ней говорится о запрете распространения сведений, которые позволяют получить доступ к программам, способным модифицировать, удалять или блокировать данные без разрешения владельца.
Одна из предложенных инициатив предусматривает запрет на распространение сведений, которые могут быть использованы для несанкционированного удаления, изменения, копирования или блокировки данных и программ, а также информации, открывающей доступ к подобному софту. Такие материалы планируется приравнять к содержанию, нарушающему законодательство о противодействии экстремизму.

При внимательном прочтении становится ясно, что под формулировку из документа подпадает практически весь технический контент, связанный с разбором уязвимостей, демонстрацией эксплойтов и публикацией PoC-материалов. Даже если они созданы для исследовательской работы или учебных курсов, их распространение может оказаться под запретом. В тексте проекта отсутствуют оговорки, которые бы устанавливали исключения для профессионального или научного использования.
В ИБ-среде считают, что эта формулировка задевает и тех специалистов, которые занимаются легальным поиском уязвимостей, тестированием систем по запросу компаний и участвуют в баунти-программах. Так называемые «белые хакеры», по мнению экспертов, рискуют оказаться под давлением новых ограничений, поскольку техническое описание потенциальных уязвимостей может попасть под действие этой нормы.
В тексте предлагается внести корректировки в статью 15.3 закона «Об информации, информационных технологиях и о защите информации». Сейчас эта статья применяется для блокировки страниц с призывами к насилию или распространением заведомо ложных угроз. Новая версия расширяет понятие запрещённого контента, добавляя к нему сведения, которые могут использоваться при кибератаках, даже если они публикуются в образовательных целях.
На ситуацию обратил внимание депутат Антон Горелкин. Он сообщил в своём Telegram-канале, что поддерживает позицию ИБ-сообщества. По словам депутата, необходимо избегать избыточного регулирования, способного навредить будущему специалистов по информационной защите. Он отметил, что интерес к технологиям у многих появился именно через изучение технических публикаций, форумов и специальных изданий. Горелкин заявил, что намерен обсудить с Минцифры возможные корректировки, которые позволят сохранить полезную техническую среду для подготовки новых профессионалов.
Алексей Лисовицкий, Директор по маркетингу, Filestone, прокомментировал ситуацию для CISOCLUB: «Самое главное, насколько доработанным, развитым примут закон. Очевидно, что нельзя оставлять отрасль без регулирования. Но таже нельзя допускать ситуаций его избытка и компенсации строгости неисполнением.
Чтобы не замедлять развитие отрасли, ограничительные меры должны сопровождаться не только вариантами сохранения коммуникации между специалистами по информационной безопасности, но и информацией о правоприменительной практике, без которой закон остаётся MVP. Давайте конкретизировать, что и где можно распространять.
Тестирование гипотез на живых людях и реальных секторах экономики стоит проводить после диалога с властью. Достаточным ли был диалог на текущий момент? Это видно по формулировкам. И этот вопрос в ведении Минцифры, которое является регулятором ещё и в том смысле, что создаёт условия для профильных компаний. Компаниям нужны квалифицированные и опытные специалисты. А специалистам нужны площадки для профессионального роста, обмена опытом. В легальной плоскости».
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин: «Это крайне неприятное известие, но в целом оно находится в тренде последних лет. Попытки регулировать получаемую информацию предпринимаются в разных точках мира с переменным успехом. Наверное, кто-то уже не помнит, но в 2019 году Youtube планировал банить ролики, описывающие процесс взлома информационных систем или уроков по написанию вредоносного кода. Да, таких роликов стало меньше, но только на Youtube. Альтернатив много, и тот, кому интересно, эту информацию найдет. Да и сам Youtube со временем ослабил ограничения. В случае с законодательством сменить можно, разве что, государство, а это несколько сложнее, чем поменять хостинг, поэтому я бы присмотрелся к тому, куда законодателей заведет желание оградить общество от опасной информации».
Ярослав Яцкевич, аналитик информационной безопасности SkyDNS: «Именно обмен знаниями, публикация анализов атак, уязвимостей и инструментов позволяет защищать инфраструктуру, повышать уровень защищённости бизнеса и государства. Представление о том, что такие публикации «помогают чёрным хакерам» — не просто наивно, оно вредно. Злоумышленники и так обладают этими знаниями. Закрывая рот специалистам и СМИ, мы лишаем возможности защищаться тех, кто стоит по другую сторону атаки.
В результате подобного подхода пострадают не злоумышленники, а те, кто ежедневно работает над тем, чтобы системы не были взломаны. Это подрывает доверие к государственным институтам и тормозит развитие отрасли».