Продвижение закона о "белых хакерах". Случилось не то, чего ждали.

logo.png

В декабре 2023г. зарегистрирован законопроект (поправки), который связан с официальным хакерством. Все уже было в ст. 1280 ГК РФ, кроме закручивания гаек.

Обоснование поправок, цитаты из документа:
...законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы...
Нажмите, чтобы раскрыть...
С целью защиты прав и интересов правообладателей программы...
Нажмите, чтобы раскрыть...
Принятие положений, предусмотренных законопроектом, не повлечет социально-экономических, финансовых и иных последствий...
Нажмите, чтобы раскрыть...

Предлагается дополнить ГК РФ ст
Ссылка скрыта от гостей
защитой прав правообладателей ПО, и урезанием прав багхантеров следующим пунктом:
...выявленная пользователем или лицом, действующим по его поручению, информация о недостатках не может быть передана третьим лицам, за исключением правообладателя и (или) лица, осуществляющего переработку программы для ЭВМ и (или) базы данных с согласия правообладателя, если иное не установлено законом...
Нажмите, чтобы раскрыть...
То есть официально поправками предлагается о дырах, уязвимостях и даже незначительных багах нельзя будет распространяться в СМИ и на кухне, даже после их устранения компаниями, как обычно была сложившаяся практика ранее: нашел, зарепортил, отблагодарили/послали, рассказал в СМИ. Рассказывать о "недостатках" (и даже требуют сообщать в течение 5 дней) хакерам можно лишь представителям ПО/IT-продуктов и связанными с ними лицами.

С точки зрения автора, который сам репортил отчеты по уязвимостям, в т.ч. получал повышенное вознаграждение за +NDA, поправки направлены на защиту прав правообладателей, и на урезание прав людям, действующих в области багбаунти, или проще говоря, идем назад к "... практике" о замалчивании проблем в области IT.

Примеры некоторых, резонансных "обнаруженных недостатков" в IT-продуктах, опубликованные в СМИ, которые показали общественности репутацию компаний "со своей колокольни".
1) Как я обнаружил проблемы у ЮМани (Сбербанк) с безопасностью и не получил денег за найденную уязвимость.

2) БагБаунти с АстраЛинус или то, что нужно знать о защищённости защищённой ОС.

3) Как дочка Роснано, продавшая с Ростехом тысячи камер в школы, делает «российские» камеры c дырявой китайской прошивкой.

4) Как я нашел способ отследить всех водителей «Ситимобил».

5) 100_500...

Теперь официально предлагается запретить пд. новости. И любая недобросовестная компания может (без ущерба для своей репутации, что их могут разоблачить) заявлять и даже врать о своих супер-защищенных характеристиках ПО, опровергать такое пруфами в массы — значить нарушать закон.

IMHO, идти развиваться в белые шляпы стало еще не целесообразнее, не выгоднее для тех, кто стоит перед выбором профессии, прокачки особых навыков.

16 октября 2024г. данные поправки успешно
Ссылка скрыта от гостей
в первом чтении.

Полный документ законопроекта —
Ссылка скрыта от гостей
.

Статья 1280 ГК РФ —
Ссылка скрыта от гостей
.
 
Последнее редактирование:
Нажмите, чтобы раскрыть...
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ