Продвижение закона о «белых хакерах». Случилось не то, чего ждали

В декабре 2023г. зарегистрирован законопроект (поправки), который связан с официальным хакерством. Всё уже было в ст. 1280 ГК РФ, кроме закручивания гаек.

Обоснования принятия поправок, цитаты из документа:

_{…законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы…}

_{С целью защиты прав и интересов правообладателей программы…}

_{Принятие положений, предусмотренных законопроектом, не повлечет социально-экономических, финансовых и иных последствий…}

Предлагается дополнить ст. 1280 ГК РФ защитой прав правообладателей ПО, и урезанием прав багхантеров следующим пунктом:

_{…выявленная пользователем или лицом, действующим по его поручению, информация о недостатках не может быть передана третьим лицам, за исключением правообладателя и (или) лица, осуществляющего переработку программы для ЭВМ и (или) базы данных с согласия правообладателя, если иное не установлено законом…}

То есть официально поправками предлагается о дырах, уязвимостях и даже незначительных багах запретить распространяться в СМИ и на кухне, даже после их устранения компаниями, как обычно была сложившаяся практика ранее: нашел; зарепортил; исправили/не шевельнулись; отблагодарили/послали; обнародовал в СМИ. Рассказывать о «недостатках» (и даже требуют сообщать о них в течение 5 дней) хакерам можно лишь представителям ПО/IT-продуктов.

С точки зрения автора этой новости, который сам неоднократно репортил отчеты по уязвимостям, в т.ч. получал повышенное вознаграждение за +NDA, поправки направлены на защиту прав правообладателей ПО и на урезание прав людей, действующих в IT-области Bug Bounty. Или проще говоря, сулит возврат к «❚ ❚ ❚ ❚ ❚ практике о замалчивании проблем».

Примеры некоторых, резонансных «обнаруженных недостатков» в российских IT-продуктах, опубликованные в СМИ, которые показали общественности реальное положение вещей с колокольни багхантеров:

• _{БагБаунти с АстраЛинус или то, что нужно знать о защищённости защищённой ОС;}

• _{Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…;}

• _{Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы;}

• _{И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках;}

• _{Был получен несанкционированный доступ к более чем 20 000 камерам видео-наблюдения Москвы;}

• _{Как я обнаружил проблемы у ЮМани (Сбербанк) с безопасностью и не получил денег за найденную уязвимость;}

• _{Как дочка Роснано, продавшая с Ростехом тысячи камер в школы, делает «российские» камеры c дырявой китайской прошивкой;}

• _{Как я нашел способ отследить всех водителей «Ситимобил»;}

• + 100_500...

Как можно заметить из некоторых материалов: собственно после публикации в СМИ и общественного резонанса некоторые IT-компании только тогда начали закрывать дыры. Теперь же официально поправками предлагается запретить подобные новости. И любая недобросовестная компания может (без ущерба для своей репутации, что их могут разоблачить) заявлять и даже врать о своих супер-защищенных характеристиках ПО, опровергать такое пруфами в массы — значит нарушать закон.

IMHO, в России идти развиваться по пути инфобезов стало ещё более нецелесообразно, не выгоднее для тех, кто стоит перед выбором профессии, прокачки особых навыков с экстремальным порогом входа.

16 октября 2024г. данные поправки успешно прошли в первом чтении.

Полный документ законопроекта — посмотреть.

Статья 1280 ГК РФ — посмотреть.