Укрощение багхантера

Из невинного увлечения поиск уязвимостей превратился в индустрию, которая одновременно полезна и опасна для владельцев сайтов. Они заинтересованы в санкционированном аудите, который позволяет повысить безопасность ресурса. И страшатся как огня несогласованного исследования, последствиями которого станут сбой в работе системы или вымогательство в обмен на информацию о найденных уязвимостях. За выявление ошибок в чужом софте без согласия владельца законодательство Российской Федерации предусматривает различные виды ответственности: гражданско-правовую, административную и уголовную. В каких случаях пойманный за руку багхантер (bughunter) отделается штрафом, а в каких — сядет за решетку? Какие несложные приемы помогут защитить ресурс от несанкционированного исследования? Эти и другие вопросы, несомненно, волнуют и российских букмекеров, которые с недавних пор начали активно развивать свой бизнес в онлайне.

Непрошеные гости

Тестирование чужого продукта на предмет уязвимостей или проникновение в чужую сеть без ведома владельца подпадает под действие следующих нормативных актов:

• Гражданский кодекс (часть IV);
• Кодекс об административных правонарушениях;
• Уголовный кодекс.

Являются ли действия багхантера правонарушением или преступлением, зависит от конкретных обстоятельств дела, а также от последствий, возникших после конкретного исследования (тестирования, взлома).

Гражданско-правовая ответственность может наступать вследствие следующих обстоятельств:

• исследование повлекло за собой нарушение авторских прав;
• в ходе исследования был причинен вред личности или имуществу;
• были нарушены условия использования (лицензия) исследуемого объекта.

Вариант 1. Авторские права

В большинстве случаев исследуемый сайт или программа представляет собой полноценный объект авторских прав. Следовательно, его правообладателю принадлежит исключительное право в отношении такого объекта (статья 1270 Гражданского кодекса РФ). Это означает, что по общему правилу именно правообладатель определяет, можно ли копировать его объект (полностью или частично), вносить в него изменения, искажения, модифицировать его.

Для понимания представим ситуацию: изучив сервис на уязвимости, исследователь скопировал часть программного кода этого сервиса и сохранил его на своем носителе. Такое копирование представляет собой использование объекта авторских прав (кода программы) путем его воспроизведения. Это значит, что фактически объект авторских прав был использован исследователем без согласия на то правообладателя. Формально это будет считаться нарушением прав последнего.

Поэтому если в ходе исследования на уязвимости произведено (даже фрагментарное) копирование, модификация, изменение, искажение исследуемого объекта авторских прав, то формально это может быть признано нарушением исключительного права его правообладателя на свой объект. Ниже — самый простой пример из практики.

Условия использования материалов (на примере registre.ru)

Материалы, размещенные на сайте registre.ru, принадлежат ООО «Профдело» и запрещены для перепечатки. В случае незаконной перепечатки материалов сайта нарушитель выплачивает правообладателю неустойку в размере 10 тыс. рублей за каждую статью или часть статьи.

Что понимать под «материалами», однозначно не ясно. Речи о том, что это правило касается только опубликованных статей, тоже нет. Поэтому если представить ситуацию, что при тестировании этого сайта на уязвимости какие-то материалы (будь то тексты неопубликованных статей или фрагменты программного кода скриптов) были скопированы исследователем, то с определенными оговорками можно будет считать, что при таком копировании он нарушил авторские права владельца этого сайта.

Если же говорить про размер ответственности за такое нарушение в денежном выражении, то он определен в статье 1301 Гражданского кодекса РФ:

• от 10 тыс. до 5 млн рублей (по усмотрению суда);
• в двукратном размере стоимости лицензии на исследуемый объект (для его использования тем способом, которым он использовался в ходе исследования).

Ответчика также могут обязать возместить правообладателю убытки, понесенные им в ходе исследования. При этом закон не ограничивает размер подобных убытков. Поэтому если правообладатель сможет доказать их размер (даже если он будет больше 5 млн), то выплачивать надо будет заявленную сумму. Как будут доказываться убытки — уже другой вопрос, выходящий за рамки этой статьи.

Вариант 2. Вред личности или имуществу

Помимо нарушения авторских прав, ответственность предусмотрена еще и за вред, нанесенный личности или имуществу (глава 59 Гражданского кодекса РФ). По общему правилу вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред. В свою очередь подозреваемый освобождается от возмещения убытков, если докажет свою невиновность.

Более наглядно это можно объяснить так. Представим ситуацию: есть программный комплекс, который отвечает за автоматическую подачу горячей воды в жилые дома. Если исследование на уязвимости стало причиной выведения этого комплекса из строя, то владелец вправе рассчитывать на взыскание с исследователя всех понесенных им убытков (включая расходы на ремонт и повторный запуск оборудования). Если те же действия стали причиной нанесения вреда имуществу в тех домах, подачу воды в которые обеспечивал программный комплекс, то и владельцы квартир (а также владельцы пострадавшего имущества в квартирах) тоже вправе рассчитывать на взыскание своих убытков.

Следует понимать, что если в результате тестирования будет выведен из строя дорогостоящий и сложный программный продукт, то последствия могут быть серьезными, равно как и ответственность за них. И денежные взыскания здесь спокойно могут превышать те пределы, о которых мы говорили, рассматривая случаи с нарушением авторских прав.

Вариант 3. Нарушение условий использования (лицензии)

Зачастую объект исследования (будь то сайт, программное приложение или иной сервис) имеет собственные условия использования. Они могут называться правилами использования, условиями сервиса, лицензией на программу или еще как-то. В этих условиях может быть предусмотрена дополнительная ответственность пользователя за действия, которые он совершает по отношению к объекту исследования.

Смотрите выше пример про сайт «Профдело». Хоть там и некорректно написаны положения об авторских правах, можно считать, что в этом случае для исследователя как раз предусмотрена ответственность за нарушение условий использования материалов сайта — 10 тыс. рублей за каждую статью или ее часть.

Кроме того, может идти речь и о возмещении убытков владельцу исследуемого ресурса. Пара примеров для наглядности.

Условия использования сайта (на примере snob.ru)

Пользователь обязуется возместить убытки ООО «Сноб Медиа», включая судебные расходы, обусловленные материалами пользователя, несоблюдением положений настоящего соглашения или нарушением прав третьих лиц, вне зависимости от того, является ли пользователь зарегистрированным или нет. Пользователь несет персональную ответственность за действия при пользовании сайтом, включая, помимо прочего, оплату стоимости доступа к Интернету в процессе такого использования.

Условия оказания услуг (на примере ru.besv.com)

При нарушении настоящих условий обслуживания, а также других правовых требований в случае нарушения прав третьих лиц и при инициировании судебного процесса в результате такого нарушения вы соглашаетесь, что компания и ее филиалы, менеджеры, агенты, сотрудники, службы или контент-провайдеры, распространители и продавцы освобождаются от юридической ответственности в связи с таким нарушением. Также вы соглашаетесь компенсировать вышеперечисленным субъектам все убытки, ущерб, гражданскую ответственность и расходы (включая разумные расходы на оплату услуг адвоката и иные судебные издержки), понесенные в результате этого.

Согласно этим текстам, исследователь, действия которого приведут к убыткам для владельцев сайтов snob.ru и ru.besv.com, может быть привлечен к ответственности за эти убытки. И если вина будет доказана, он будет вынужден возместить ущерб.

Встречаются даже ресурсы, чьи условия использования прямо содержат запрет на поиск уязвимостей.

Правила и условия регистрации (на примере сайта Masters of Taste)

В частности, пользователи не должны: […] пытаться оценить или проверить уязвимость сайта, а также нарушать правила безопасности и системы идентификации пользователей сайта без предварительного письменного согласия организатора.

Условия использования (оферта) сайта (на примере kartatalanta.ru)

Используя сайт, зарегистрированный пользователь обязуется не нарушать или пытаться нарушать информационную безопасность сайта, что включает в себя: […]

5.2. попытки проверить уязвимость системы безопасности сайта, нарушение процедуры регистрации и авторизации без разрешения исполнителя…

Поэтому перед тестированием на уязвимости конкретного программного продукта нелишне будет ознакомиться с правилами его использования: посмотреть, не упомянуты ли в них запреты таких действий и не указана ли потенциальная ответственность за них.

В чем выражена административная ответственность?

КоАП РФ содержит обширный список возможных нарушений в сфере защиты информации, среди которых можно выделить два пункта.

Первый — занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), — статья 13.13 КоАП. Возможная ответственность: административный штраф до 1 тыс. рублей с конфискацией средств защиты информации или без таковой для физлиц, до 3 тыс. рублей для должностных лиц и до 20 тыс. рублей с конфискацией средств защиты информации или без таковой для юридических лиц.

Второй пункт — разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, — статья 13.14 КоАП. Возможная ответственность: административный штраф в размере до 1 тыс. рублей для физлиц и до 5 тыс. рублей для должностных лиц.

Административная ответственность может налагаться отдельно от гражданско-правовой. То есть некоторые нарушения лежат не в гражданско-правовой плоскости, поэтому можно быть также привлеченным и к административной ответственности, если соответствующий состав правонарушения предусмотрен в КоАП.

В чем выражена уголовная ответственность?

Уголовная ответственность за преступления в сфере компьютерной информации предусмотрена главой 28 Уголовного кодекса РФ и применяется при наступлении общественно опасных последствий. Начнем со статьи 272 УК РФ.

Уголовный кодекс Российской Федерации, статья 272 «Неправомерный доступ к компьютерной информации»

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, наказывается штрафом в размере до 200 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

По ней наказуемым может быть только действие в виде доступа к охраняемой законом компьютерной информации. Понятие доступа приведено в статье 8 федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ: под ним понимается поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных законом.

Под компьютерной информацией (согласно ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации» от 07.12.2011 № 420-ФЗ) понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Важно иметь в виду, что привлечение к уголовной ответственности возможно только в том случае, если действия виновного повлекли материальные последствия: уничтожение, блокирование, модификацию, копирование компьютерной информации. При отсутствии таких последствий вина в совершении преступления по статье 272 УК РФ исключается.

Например, если гражданин Иванов, желая проверить верность девушки, использует неправомерно добытый логин и пароль девушки, заходит на ее электронную почту, просматривает сообщения, не копируя, изменяя или уничтожая информацию, то Иванов не будет нести ответственность по статье 272 УК РФ, так как в действиях Иванова не усматривается общественно опасных последствий. Однако в таких действиях может быть другой состав преступления, который предусмотрен статьей 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений».

Также УК РФ предусматривает уголовную ответственность за следующие деяния.

Уголовный кодекс Российской Федерации, статья 273 «Создание, использование и распространение вредоносных компьютерных программ»

Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до 200 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев.

Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»

Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, наказывается штрафом в размере до 500 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

То есть применение каких-либо вредоносных программ (троянов, кейлоггеров и прочего), равно как и нарушение работы информационных сетей или оборудования в ходе исследования сервиса или иного программного продукта, может также стать отдельным составом преступления.

При отягчающих обстоятельствах (к примеру, действие совершено группой лиц по предварительному сговору) либо при наступлении тяжких последствий или использовании служебного положения наказание, как правило, усиливается.


По материалам xakep.ru




Автор:   Евгений Иваниченко