Строгость EULA компенсируется сложностью доказать нарушения
По данным исследования TAdviser, посвященного российскому рынку Bug Bounty, которое проведено в конце 2022 г. по заказу Positive Technologies, ИТ-сектор, наряду с банками, розницей и интернет-компаниями, является одним из наиболее активных потребителей таких услуг, которые, наряду с тестированием на проникновение и комплексной имитацией атак ("редтимингом"), объединяются в сегмент средств наступательной безопасности, или OffSec.
https://www.comnews.ru/content/222787/2022-10-27/2022-w43/praktika-bug-…
Однако, как подчеркнула руководитель QA-отдела ИТ-компании SimbirSoft Галина Яшина, такой практикой пользуются только самые крупные ИТ-компании из-за высокой цены: "Согласно аналитике Tadviser, "Яндексу" такие исследования обошлись в 30 млн руб. VK в 2022 г. потратила на bug bounty около 185 млн руб.". Хотя, по ее мнению, практика Bug Bounty стала востребованным инструментом.
Руководитель департамента информационной безопасности АО ИВК Игорь Корчагин напомнил, что тестирование кода на уязвимости, в том числе с помощью bug bounty прямо подпадает под формальные требования к разработке безопасного программного обеспечения. Да и заказчики, по его наблюдениям, все чаще интересуются, проводит ли вендор исследования безопасности кода, в том числе с привлечением внешних экспертов.
Как отметил руководитель направления перспективных исследований ГК "Астра" Роман Мылицын, выступая на конференции "Лучшие практики наступательной безопасности (Offensive Security)", использование bug bounty требует от разработчика ПО внесения изменений в пользовательское соглашение (EULA, End User License Agreement, лицензионное соглашение для конечных пользователей), которое обычно прямо запрещает дизассемблирование и прочие действия, используемые в ходе поиска уязвимостей. По его оценке, участники программ подвергаются серьезному риску при нарушении норм, заложенных в EULA. В итоге, как подчеркнул Роман Мылицын, проблемные положения пришлось изменить, а какие-то даже полностью убрать, и на эту работу потребовалось около двух лет. Как заявил представитель ГК "Астра", использование практики bug bounty позволило устранить проблемы, которые внутренняя команда безопасной разработки перестала замечать из-за "замыленного" взгляда.
По мнению Игоря Корчагина, в ходе тестирования кода необходимо учитывать целый ряд различных нюансов, что требует отражения в договорной базе: "Надо внести уточнение - не тотальный запрет дезассемблирования, а для некоторых видов предоставления доступа. Если для исследования в рамках конкретных платформ, то можно для их участников. Код должен быть размещен на официальной площадке, на которой тестировщик регистрируется и получает код. К таким участникам соответствующего источника и будет применяться EULA".
Директор по стратегии и развитию технологий Axiom JDK Роман Карпов при этом обратил внимание, что продукты, выпускаемые под свободными или открытыми лицензиями, не должны содержать запретов на исследование кода. Что касается проприетарного ПО, то тут, по мнению представителя Axiom JDK, вендор может быть сам заказчиком "тестирования на проникновение", и программы bug bounty могут предусматривать дополнительные права для участников программы (заключивших соответствующее соглашение о нераскрытии данных третьим лицам), так что юридический риск можно считать ничтожным.
Галина Яшина называет нарушение EULA частой практикой: "Прежде всего, это связано с элементарной невнимательностью и сложностями при прочтении данного документа либо с осознанным нарушением, поскольку нарушение многих пунктов юридически сложно доказать". По ее оценке, изменение данного документа, связанное с практиками bug bounty и снятием запрета на дизассемблирование в пользовательских соглашениях, может исходить как от вендора (разработчика или поставщика программного обеспечения), так и от заказчика (организации или лица, использующего это программное обеспечение). Но данное решение, по мнению Галины Яшиной, должно быть обоюдным.
"Чаще всего, конечно, нарушают, но это делается с целью оградить потребителя от рисков информационной безопасности. Обезопасить от атак на информационную систему. Реальному атакующему абсолютно безразлична наша EULA", - полагает Игорь Корчагин.
При этом, как напомнил управляющий RTM Group Евгений Царев, все остальные проблемы юридического плана устранило постановление пленума Верховного суда РФ №37 от 15 декабря 2022 г. "О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть "Интернет". Согласно этому документу, действия, которые проводятся в образовательных целях или по соглашению сторон, выводятся из состава преступления по целому ряду статей УК РФ. Раньше, как отметил Евгений Царев, участникам тестирований на проникновение или bug bounty реально грозило привлечение к уголовной ответственности по "хакерским" статьям. Чтобы исключить такой риск, как напомнил эксперт, необходимо в явном виде отражать в договорной базе действия, которые будут проводить исполнители в ходе тестирований.
Однако и тут, по оценке заместителя председателя Совета по развитию цифровой экономики при Совете Федерации Артема Шейкина, не все вопросы решены: "По мнению некоторых экспертов, проблематично делать примечания к действующим статьям УК и прописывать, что их действия не являются преступлением, потому что несут в себе общественно полезные или социально значимые функции. Формально это все равно будет преступное деяние, и в случае спорных ситуаций правоохранительные органы будут давать оценку, является конкретное действие социально значимым или нет". По мнению сенатора, назрела необходимость регламентировать деятельность "белых" хакеров так, чтобы полностью оградить их от уголовного преследования.
https://www.comnews.ru/content/227110/2023-06-29/2023-w26/sovfede-rekom…