Португалия внесла изменения в закон о киберпреступности, освободив ИБ-исследователей и «этичных хакеров» от уголовного преследования. Поправка создаёт юридическое исключение для действий, которые ранее считались бы незаконными, при условии, что они помогают выявлять уязвимости или способствуют повышению кибербезопасности.
Для того чтобы подпадать под действие этого режима исключений, «белые хакеры» должны соответствовать следующим условиям:
- не преследовать цель получения экономической выгоды;
- не нарушать защиту персональных данных в соответствии с применимыми законами;
- не использовать атаки типа «отказ в обслуживании» (DoS), методы социальной инженерии, фишинг, кражу или изменение данных для достижения своей цели исследования уязвимостей;
- не вызывать сбои в работе системы или сервиса, удаление, ухудшение или несанкционированное копирование компьютерных данных и другие вредные, разрушительные последствия для затронутых лиц и организаций.
Плюс, на пентестеров возлагается обязанность сообщать о своих выводах как владельцу или назначенному руководителю целевой системы или продукта, так и регулятору защиты данных, при сохранении тайны за пределами указанного круга лиц. В течение десяти дней после устранения уязвимости эти данные должны быть удалены.
В последние годы Германия и США предпринимали аналогичные шаги для защиты «этичных хакеров» от юридической ответственности. В ноябре 2024 года немецкое министерство юстиции представило проект закона, предлагающего правовую защиту пентестерам, которые добросовестно сообщают о недостатках поставщикам. В 2022 году американский Минюст пересмотрел свою политику преследования в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях, явно выделив исключение для добросовестных исследований в области безопасности.
Также недавно британский министр безопасности Дэн Джарвис объявил о намерении властей внести поправки в Закон о компьютерном злоупотреблении, чтобы добавить аналогичные исключения. С его слов, правительство услышало критику закона, который может ограничивать деятельность многих экспертов по кибербезопасности: «Эти исследователи играют важную роль в повышении устойчивости британских систем и защите их от неизвестных уязвимостей. Мы не должны отталкивать этих людей. Мы должны приветствовать их работу, освобождая от судебного преследования при соответствии определённым гарантиям».
Усам Оздемиров
.png)