Содержание статьи

Какие риски несет выявление уязвимостей в чужом софте без согласия владельца? Можно ли за такую деятельность влететь на штраф? Светит ли за это административная или уголовная ответственность? Как можно минимизировать риски? Спасет ли программа Bug Bounty? Мы постараемся дать ответы на эти и некоторые другие вопросы.

В 2013 году студент Деян Орниг (Dejan Ornig) обнаружил уязвимости в протоколе шифрования TETRA и сообщил об этом в полицейское ведомство. Два года оно молчало, пока в 2015 году Орниг не выложил в открытый доступ информацию о своих находках. Как только про это стало известно властям, против него было выдвинуто обвинение во взломе протокола.

В итоге Деян был признан виновным и получил пятнадцать месяцев лишения свободы условно. Неожиданный поворот событий, да? Вроде бы человек нашел уязвимости, решил сделать доброе дело, сообщил о них куда надо. Но в результате получил такую вот «благодарность» от властей. И это далеко не единственный пример.

Что же ожидает человека, который занимается поиском уязвимостей в сторонних продуктах? Вариантов развития событий немало. Все зависит от целей исследования. Одно дело, когда человек берется за это «по заказу» третьих лиц, которым подобные уязвимости нужны для собственных целей (привет, Expocod!). Другое — когда он работает с ведома и согласия самого владельца сервиса в рамках Bug Bounty или иного соглашения. Нередки и случаи, что человек находит уязвимости и пытается в обмен на информацию о них получить деньги от владельца сервиса (привет, Parallels!).

Если с Bug Bounty все более-менее понятно (так как правила игры и допустимые пределы исследования задаются владельцем сервиса), то в случае отсутствия договоренностей может возникнуть много вопросов, прежде всего у самих багхантеров.

 

Есть ли вообще какая-то ответственность за исследование и взлом чужой программы, сервиса, сети?

Если говорить про действующие российские законы, то да, есть. Когда исследователь тестирует чужой продукт на предмет уязвимостей или проникает в чужую сеть без ведома и согласия владельца, его действия могут быть расценены как неправомерные. И последствием таких действий может стать наступление ответственности различного рода: гражданско-правовой, административной и уголовной.

 

О каких законах идет речь?

В большей степени исследование уязвимостей (а также возможная ответственность в случае совершения противоправных деяний) касается тех законов, которые перечислены ниже. Обрати внимание, что это не весь список: в этой статье не затрагиваются вопросы, связанные с персональными данными, охраняемой законом тайной (государственной, врачебной, банковской и так далее) и некоторые другие вопросы. Пока что мы поговорим о следующих трех законах:

  1. Гражданский кодекс;
  2. Кодекс об административных правонарушениях;
  3. Уголовный кодекс.
 

В каких случаях багхантер понесет ответственность?

Все зависит от конкретных обстоятельств дела, а также от последствий, возникших после конкретного исследования (тестирования, взлома). В зависимости от них и будет определяться, являются ли такие действия багхантера правонарушением или нет, преступлением или нет, подлежит ли он привлечению к ответственности соответствующего рода или нет.

 

Что надо знать про гражданско-правовую ответственность?

В первую очередь надо знать, что она может наступать вследствие следующих обстоятельств:

  1. Исследование повлекло за собой нарушение авторских прав.
  2. В ходе исследования был причинен вред личности или имуществу.
  3. Были нарушены условия использования (лицензия) исследуемого объекта.
 

Кейс 1. Авторские права

В большинстве случаев исследуемый сайт или программа представляет собой полноценный объект авторских прав. Следовательно, его правообладателю принадлежит исключительное право в отношении такого объекта (статья 1270 Гражданского кодекса РФ). Это означает, что по общему правилу именно правообладатель определяет, можно ли копировать его объект (полностью или частично), вносить в него изменения, искажения, модифицировать его.

Для понимания представим ситуацию: изучив сервис на уязвимости, исследователь скопировал часть программного кода этого сервиса и сохранил его на своем носителе. Такое копирование представляет собой использование объекта авторских прав (кода программы) путем его воспроизведения. Это значит, что фактически объект авторских прав был использован исследователем без согласия на то правообладателя. Формально это будет считаться нарушением прав последнего.

Поэтому если в ходе исследования на уязвимости произведено (даже фрагментарное) копирование, модификация, изменение, искажение исследуемого объекта авторских прав, то формально это может быть признано нарушением исключительного права его правообладателя на свой объект. Ниже — самый простой пример из практики.

 

Условия использования материалов сайта registre.ru

Материалы, размещенные на сайте www.registre.ru, принадлежат ООО «Профдело» и запрещены для перепечатки. В случае незаконной перепечатки материалов сайта нарушитель выплачивает правообладателю неустойку в размере 10 000 рублей за каждую статью или часть статьи.

https://www.registre.ru/copyright.html

Что понимать под «материалами», однозначно не ясно. Речи о том, что это правило касается только опубликованных статей, тоже нет. Поэтому если представить ситуацию, что при тестировании этого сайта на уязвимости какие-то материалы (будь то тексты неопубликованных статей или фрагменты программного кода скриптов) были скопированы исследователем, то с определенными оговорками можно будет считать, что при таком копировании он нарушил авторские права владельца этого сайта.

Если же говорить про размер ответственности за такое нарушение в денежном выражении, то он определен в статье 1301 Гражданского кодекса РФ:

  • от десяти тысяч до пяти миллионов рублей (по усмотрению суда);
  • в двукратном размере стоимости лицензии на исследуемый объект (для его использования тем способом, которым он использовался в ходе исследования).

Ответчика также могут обязать возместить правообладателю убытки, понесенные им в ходе исследования. При этом закон не ограничивает размер подобных убытков. Поэтому если правообладатель сможет доказать их размер (даже если он будет больше пяти миллионов), то выплачивать надо будет заявленную сумму. Как будут доказываться убытки — уже другой вопрос, выходящий за рамки этой статьи.

 

Кейс 2. Вред личности или имуществу

Помимо нарушения авторских прав, ответственность предусмотрена еще и за вред личности или имуществу (глава 59 Гражданского кодекса РФ). По общему правилу вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред. В свою очередь подозреваемый освобождается от возмещения убытков, если докажет свою невиновность.

Более наглядно это можно объяснить так. Представим ситуацию: есть программный комплекс, который отвечает за автоматическую подачу горячей воды в жилые дома. Если исследование на уязвимости стало причиной выведения этого комплекса из строя, то владелец вправе будет рассчитывать на взыскание с исследователя всех понесенных им убытков (включая расходы на ремонт и повторный запуск оборудования). Если те же действия стали причиной нанесения вреда имуществу в тех домах, подачу воды в которые обеспечивал программный комплекс, то и владельцы квартир (а также владельцы пострадавшего имущества в квартирах) тоже будут вправе рассчитывать на взыскание своих убытков.

То есть следует понимать, что если в результате тестирования будет выведен из строя дорогостоящий и сложный программный продукт, то последствия могут быть серьезными, равно как и ответственность за них. И денежные взыскания здесь спокойно могут превышать те пределы, о которых мы говорили, рассматривая случаи с нарушением авторских прав.

 

Кейс 3. Нарушение условий использования (лицензии)

Зачастую объект исследования (будь то сайт, программное приложение или иной сервис) имеет собственные условия использования. Они могут называться правилами использования, условиями сервиса, лицензией на программу или по-другому. В этих условиях может быть предусмотрена дополнительная ответственность пользователя за действия, которые он совершает по отношению к объекту исследования.

Смотри выше пример про сайт «Профдело». Хоть там и некорректно написаны положения об авторских правах, можно считать, что в этом случае для исследователя как раз предусмотрена ответственность за нарушение условий использования сайта — десять тысяч рублей за каждую статью или ее часть.

Кроме того, может идти речь и о возмещении убытков владельцу исследуемого ресурса. Пара примеров для наглядности.

 

Условия использования сайта

Пользователь обязуется возместить убытки ООО «Сноб Медиа», включая судебные расходы, обусловленные материалами Пользователя, несоблюдением положений настоящего Соглашения или нарушением прав третьих лиц, вне зависимости от того, является ли Пользователь зарегистрированным или нет. Пользователь несет персональную ответственность за действия при пользовании Сайтом, включая, помимо прочего, оплату стоимости доступа к интернету в процессе такого использования.

https://snob.ru/basement/term

 

Условия оказания услуг

  1. Компенсация
    При нарушении настоящих Условий обслуживания, а также других правовых требований, в случае нарушения прав третьих лиц и при инициировании судебного процесса, в результате такого нарушения, вы соглашаетесь, что Компания и ее филиалы, менеджеры, агенты, сотрудники, службы или контент-провайдеры, распространители и продавцы освобождаются от юридической ответственности в связи с таким нарушением. Также вы соглашаетесь компенсировать вышеперечисленным субъектам все убытки, ущерб, гражданскую ответственность и расходы (включая разумные расходы на оплату услуг адвоката и иные судебные издержки), понесенные в результате этого.

http://ru.besv.com/terms-of-service/

Согласно этим текстам, исследователь, действия которого приведут к убыткам для владельцев сайтов snob.ru и ru.besv.com, может быть привлечен к ответственности за эти убытки. И если вина будет доказана, он будет вынужден возместить ущерб.

Встречаются даже ресурсы, чьи условия использования прямо содержат запрет на поиск уязвимостей.

 

Правила и условия регистрации на сайте Masters of Taste

В частности, Пользователи не должны: […]

  • пытаться оценить или проверить уязвимость Сайта, а также нарушать правила безопасности и системы идентификации пользователей Сайта без предварительного письменного согласия Организатора.

https://mastersoftaste.club/legal

 

Условия использования (оферта) сайта kartatalanta.ru

Используя Сайт, Зарегистрированный пользователь обязуется не нарушать или пытаться нарушать информационную безопасность Сайта, что включает в себя: […]

  • 5.2. попытки проверить уязвимость системы безопасности Сайта, нарушение процедуры регистрации и авторизации без разрешения Исполнителя;

http://kartatalanta.ru/text/terms.php

Поэтому перед тестированием на уязвимости конкретного программного продукта нелишне будет ознакомиться с правилами его использования: посмотреть, не упомянуты ли в них запреты таких действий и не указана ли потенциальная ответственность за них.

 

В чем выражена административная ответственность?

КоАП РФ содержит обширный список возможных нарушений в сфере защиты информации, среди которых можно выделить два пункта.

Первый — занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), — статья 13.13 КоАП. Возможная ответственность: административный штраф до одной тысячи рублей с конфискацией средств защиты информации или без таковой для физлиц, до трех тысяч рублей для должностных лиц и до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой для юридических лиц.

Второй пункт — разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, — статья 13.14 КоАП. Возможная ответственность: административный штраф в размере до одной тысячи рублей для физлиц и до пяти тысяч рублей для должностных лиц.

Административная ответственность может налагаться отдельно от гражданско-правовой. То есть некоторые нарушения лежат не в гражданско-правовой плоскости, поэтому можно быть также привлеченным и к административной ответственности, если соответствующий состав правонарушения предусмотрен в КоАП.

 

В чем выражена уголовная ответственность?

Уголовная ответственность за преступления в сфере компьютерной информации предусмотрена главой 28 Уголовного кодекса РФ и применяется при наступлении общественно опасных последствий. Начнем со статьи 272 УК РФ.

 

Уголовный кодекс Российской Федерации, статья 272. Неправомерный доступ к компьютерной информации

  1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

По ней наказуемым может быть только действие в виде доступа к охраняемой законом компьютерной информации. Понятие доступа приведено в статье 8 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ: под ним понимается поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных законом.

Под компьютерной информацией (согласно ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации» от 07.12.2011 № 420-ФЗ) понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Важно иметь в виду, что привлечение к уголовной ответственности возможно только в том случае, если действия виновного повлекли материальные последствия: уничтожение, блокирование, модификацию, копирование компьютерной информации. При отсутствии таких последствий вина в совершении преступления по статье 272 УК РФ исключается.

Например, если гражданин Иванов, желая проверить верность девушки, использует неправомерно добытый логин и пароль девушки, заходит на ее электронную почту, просматривает сообщения, не копируя, изменяя или уничтожая информацию, то Иванов не будет нести ответственность по статье 272 УК РФ, так как в действиях Иванова не усматривается общественно опасных последствий. Однако в таких действиях может быть другой состав преступления, который предусмотрен статьей 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений».

Также УК РФ предусматривает уголовную ответственность за следующие деяния:

 

Уголовный кодекс Российской Федерации, статья 273. Создание, использование и распространение вредоносных компьютерных программ

  1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
 

Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

  1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

То есть применение каких-либо вредоносных программ (троянов, кейлоггеров и прочего), равно как нарушение работы информационных сетей или оборудования в ходе исследования сервиса или иного программного продукта, может также стать отдельным составом преступления.

При отягчающих обстоятельствах (к примеру, действие совершено группой лиц по предварительному сговору) либо при наступлении тяжких последствий или использовании служебного положения наказание, как правило, усиливается.

 

Как исследователю снизить риски привлечения к ответственности?

Ответственность может быть исключена в ситуациях, когда действия исследователя не нарушают нормы закона, права и законные интересы третьих лиц. Например, риски привлечения к ответственности можно снизить, когда исследование проводится с ведома и согласия владельца (правообладателя) исследуемого программного продукта. Это может быть письменное согласие с его стороны (двусторонний договор или иная письменная форма согласия, хотя бы электронная переписка), либо это может быть общим соглашением на ведение подобной деятельности (программа Bug Bounty как раз и будет такого рода соглашением). Главное, чтобы у исследователя были в распоряжении доказательства, подтверждающие согласие.

Помимо этого, исследование не должно причинять вред личности или имуществу иных третьих лиц, а также нарушать авторские права. Стоит также читать условия использования исследуемого продукта: в них могут содержаться положения, которые могут привести к дополнительным неприятностям для исследователя, если его привлекут к ответственности в судебном порядке. Эта рекомендация справедлива в том числе для программ Bug Bounty: ведь и они порой могут преподносить сюрпризы.

Ну и конечно, не стоит забывать, что все зависит именно от конкретных обстоятельств, поэтому в разных случаях ответы на одни и те же вопросы могут отличаться.

5 комментариев

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Компания Oracle выпустила экстренный патч для критических уязвимостей в продуктах PeopleSoft

Инженеры Oracle выпустили внеплановый патч, исправляющий пять уязвимостей. Одна из проблем…