Юридическая сторона пентеста

На днях в блоге компании InfoWatch обсуждалась интересная тема для пентестеров: "Насколько безопасным с юридической точки зрения (ст.273 УК РФ) является использование «специальных» программ при проведении пентеста?".

Тот факт, что владелец информации и оператор ИС дал своё согласие на проведение атаки освобождает пентестера от ответственности по ст.272 УК, но никак не влияет на квалификацию действий пентестера по ст.273 УК. То есть, "вредоносные программы вне закона всегда".


С одной стороны, специальное ПО (назовем его ПО удаленного администрирования), содержит в себе функции, которые могут быть расценены как "вредоносные". С другой стороны не совсем понятно, что такое "вредоносная программа" в юридическом смысле?

После жарких дискуссий оппоненты согласились со следующей формулировкой (источник) определения вредоносной программы: "Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия – без участия и без предварительного уведомления вышеуказанных субъектов."

Отсюда следует, что правильно составленный договор на проведение тестирования на проникновение освобождает от ответственности пентестера, как по ст.272 УК (Неправомерный доступ к компьютерной информации), так и по ст.273 УК (Создание, использование и распространение вредоносных программ для ЭВМ).

А для того, чтобы максимально снизить риски возможного юридического преследования по ст.273 УК, можно пойти по пути, который рекомендует специалист компании InfoWatch: "Самый безопасный вариант - отдать свою программу на экспертизу, т.е. провести неофициальное её исследование. Проанализировав функционал и устройство программы, специалисты смогут сказать, вредоносная она или нет. Грань между этими состояниями может заключаться в одной строчке кода."

10 комментариев :

  1. Если проводить регулярную экспертизу утилит, используемых в ходе пентеста, его себестоимость вырастет в десятки раз и он умрет, как услуга.

    Мы же не проводим экспертизу кухонного ножа перед использованием? И так понятно, что он может быть орудием преступления.

    ОтветитьУдалить
  2. Я было хотел возразить, а потом поразмыслил и ведь правда:) Подобный софт (в частности под социалку) регулярно пересобирают, а если так, то и на экспертизу нужно отдавать каждую сборку.
    Отсюда вывод: схема с экспертизой не работает. Все верно.

    ОтветитьУдалить
  3. Мне кажется, наш рынок вообще склонен к торговле всевозможными индульгенциями. Купи бумажку, что у тебя все ок, и в случае чего проблем не будет.

    В тоже время, в мире практикуется и другой подход, когда в случае инцидента (например, с теми же персональными данными) компания обязана опубликовать данные о нем, а последствия каждый раз определяются судом.

    ОтветитьУдалить
  4. Часто ли заказчики пентестов упрекают непосредственных исполнителей в неправомерности действий и использовании вредоносного ПО?

    Я думаю, что 273 статью могут приписать только при условии, что пентестер изначально совершал неправомерные действия. И как мне кажется это можно сравнить с убийством из огнестрельного оружия + незаконное хранение этого самого оружия.

    ОтветитьУдалить
  5. to Александр Дорофеев:
    да, это действительно так... к сожалению...

    to Sonique:
    ключевое слово тут - Заказчики. А что если заявление будет написано сотрудником компании Заказчика, чью офисную рабочую станцию скомпрометировали в процессе пентеста? Скомпрометировали и установили программу с функциями руткита и удаленного администрирования.
    Другое дело, что подобных прецедентов еще не было. Но это вовсе не означает, что их не будет. Потому, стоит держать руку на пульсе и понимать, где стирается грань между тестированием на проникновение и нарушением законодательства, конституции, etc.

    ОтветитьУдалить
  6. Как раз в тему сегодня получил письмо, начинающееся словами: "Оформление сертификатов в кратчайшие сроки и самым низким ценам в Москве! ГОСТ-Р ИСО 9001-2001 и т.д". :) Интересно, остались люди, которые верят подобным сертификатам, "сделанным" в нашей стране?

    ОтветитьУдалить
  7. to Dmitry: А как обстоят дела у зарубежных коллег с подобными юридичискими проблемами? Есть ли у них какие-то правовые нормы для пен-тестеров?

    ОтветитьУдалить
  8. to Александр Дорофеев:
    ха-ха))) прям как аттестаты и дипломы, продаваемые в метро%))

    to Sonique:
    хороший вопрос! но к сожалению ответа на него не знаю.... сейчас у умных людей спросим;)

    ОтветитьУдалить
  9. to Dmitry: Если есть какая-то информация касательно зарубежных правовых норм для пен-тесторов, я с удавольствием прочитал бы, чтобы знать что будет через 20 лет ;)

    ОтветитьУдалить
  10. хех)) эксперты сказали, что пентестером за рубежом быть проще:)
    цитата: "в уголовном законодательстве США (US Code, Title 18, 1030) состав преступления, заключающегося в создании вредоносных программ для ЭВМ, отсутствует. А состав преступления, состоящего в применении вредоносных программ, является материальным (т.е. требует наступления последствий), и уголовная ответственность наступает только если в результате нанесён ущерб на сумму свыше 5 000 долларов. Состав же ч.1 ст.273 УК РФ - формальный (не требует последствий)"
    ссылка: http://infowatch.livejournal.com/43369.html

    ОтветитьУдалить