infowatch (infowatch) wrote,
infowatch
infowatch

Пентест как гусарская рулетка

Так называемые пентесты (тесты на проникновение) часто проводятся с использованием вредоносных программ. Тот факт, что обладатель информации и оператор ИС дал своё согласие на доступ, никак не влияет на квалификацию действий пентестера по ст.273 УК. Доступ – это одно, а программы – совсем другое.

Дело в том, что запрет на создание и использование вредоносных программ в российском законодательстве – абсолютный. В отличие, скажем, от изготовления и применения оружия, которое может быть законно при определённых условиях. Вредоносные программы вне закона всегда. Формально их не имеет права использовать даже армия против информационных систем противника во время войны.

Игра
К тому же, в российской правоприменительной практике распространено сильно расширительное толкование "вредоносности". То есть привлечь к уголовной ответственности норовят даже за программы, которые просто похожи на вредоносные, хотя таковыми не являются.

Что интересно, пентестеры бывают настолько легкомысленны, что не просто используют эти вредоносные программы. (Ну, применяли бы их втихую. Никто не знает, никто не жалуется. Следовательно, и риск невелик.) Но они ещё и прописывают об этом в договоре с клиентом. То есть сами создают доказательства своей противоправной деятельности.

Сразу отвечу на вопрос, который напрашивается. Нет, прецедентов привлечения к уголовной ответственности за пентест пока не было. Руки не доходили. Но как только у органов иссякнут более лёгкие цели в виде "чёрных инсталляторов" и продавцов дисков с порнухой, неизбежно начнутся проверочные закупки у пентестеров.


Tags: оценка рисков, пентест, статья 273
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 31 comments