Кто и как несет ответственность за использование уязвимостей в ПО
в соавторстве с Артемом Романенковым
первоначально была опубликована в журнале "Хакер"
Какие риски несет выявление уязвимостей в чужом софте без согласия владельца? Можно ли за такую деятельность влететь на штраф? Светит ли за это административная или уголовная ответственность? Как можно минимизировать риски? Спасет ли программа Bug Bounty? На все эти вопросы мы постараемся ответить, а также посмотрим, каковы риски для самого заказчика.
В 2013 году студент Деян Орниг (Dejan Ornig) обнаружил уязвимости в протоколе шифрования TETRA и сообщил об этом в полицейское ведомство. Два года оно молчало, пока в 2015 году Орниг не выложил в открытый доступ информацию о своих находках . Как только про это стало известно властям, против него было выдвинуто обвинение во взломе протокола.
В итоге Деян был признан виновным и получил условное наказание в виде лишения свободы на срок 15 месяцев. Неожиданный поворот событий, да? Вроде бы человек нашел уязвимости, решил сделать доброе дело, сообщил о них куда надо. Но в результате получил такую вот «благодарность» от властей. И это далеко не единственный пример.
Что же ожидает человека, который занимается поиском и выявлением уязвимостей в сторонних продуктах? Вариантов развития событий немало. Все зависит от целей исследования. Одно дело, когда человек занимался этим «по заказу» третьих лиц, которым подобные уязвимости нужны для собственных целей (привет, Expocod!). Другое – когда он работает с ведома и согласия самого владельца сервиса в рамках Bugbounty или иного соглашения. Нередки и случаи, когда человек находит уязвимости и пытается в обмен на информацию о них получить деньги от владельца сервиса.
Если с BugBounty все более-менее понятно (так как правила игры и допустимые пределы исследования задаются владельцем сервиса), то в случае отсутствия договоренностей может возникнуть много вопросов, прежде всего у самих багхантеров.
Есть ли вообще какая-то ответственность за исследование и взлом чужой программы, сервиса, сети?
Если говорить про действующие российские законы, то да, есть. Когда исследователь тестирует чужой продукт на предмет уязвимостей или проникает в чужую сеть без ведома и согласия владельца, то в этом случае его действия могут быть расценены как неправомерные. И последствием таких действий может стать наступление ответственности различного рода: гражданско-правовой, административной и уголовной.
О каких законах идет речь?
В большей степени исследование уязвимостей (а также возможная ответственность в случае совершения противоправных деяний) касается тех законов, которые перечислены ниже. Обрати внимание, что это не весь список: в этой статье не затрагиваются вопросы, связанные с персональными данными, охраняемой законом тайной (государственной, медицинской, банковской и т.п.) и некоторые другие вопросы. Пока что мы поговорим о следующих трех законах:
- гражданский кодекс (часть четвертая);
- кодекс об административных правонарушениях;
- уголовный кодекс.
В каких случаях багхантер понесет ответственность?
Все зависит от конкретных обстоятельств дела, а также от последствий, возникших после конкретного исследования (тестирования, взлома). В зависимости от них и будет определяться, являются ли такие действия багхантера правонарушением или нет, преступлением или нет, подлежит ли он к привлечению к ответственности соответствующего рода или нет.
Что надо знать про гражданско-правовую ответственность?
В первую очередь надо знать то, что она может наступать вследствие следующих обстоятельств:
- исследование повлекло за собой нарушение авторских прав;
- в ходе исследования был причинен вред личности или имуществу;
- были нарушены условия использования (лицензия) исследуемого объекта.
Вариант 1. Авторские права
В большинстве случаев исследуемый сайт или программа представляет собой полноценный объект авторских прав. Следовательно, его правообладателю принадлежит исключительное право в отношении такого объекта (статья 1270 Гражданского Кодекса РФ). Это означает, что по общему правилу именно правообладатель определяет, можно ли копировать его объект (полностью или частично), вносить в него изменения, искажения, модифицировать его.
Для понимания представим ситуацию: исследование сервиса на уязвимости повлекло за собой копирование части программного кода такого сервиса и сохранение его исследователем на своем носителе. Такое копирование представляет собой использование объекта авторских прав (кода программы) путем его воспроизведения. Это значит, что фактически объект авторских прав был использован исследователем без согласия на то правообладателя. Формально это будет считаться нарушением прав владельца сервиса.
Поэтому если в ходе исследования на уязвимости произошло (даже фрагментарное) копирование, модификация, изменение, искажение исследуемого объекта авторских прав, то формально это может быть признано нарушением исключительного права его правообладателя на свой объект. Ниже – самый простой пример из практики.
Условия использования материалов сайта registre.ru
https://www.registre.ru/copyright.html
Материалы, размещенные на сайте www.registre.ru, принадлежат ООО "Профдело" и запрещены для перепечатки. В случае незаконной перепечатки материалов сайта, нарушитель выплачивает правообладателю неустойку в размере 10000 рублей за каждую статью или часть статьи.
Что понимать под «материалами», однозначно не ясно. Речи о том, что это правило касается только опубликованных статей, тоже нет. Поэтому если представить ситуацию, что в ходе тестирования этого сайта на уязвимости какие-то материалы (будь то тексты неопубликованных статей, фрагменты программного кода скриптов и т.д.) были скопированы исследователем, то с определенными оговорками можно будет говорить о том, что при таком копировании он нарушил авторские права владельца этого сайта.
Если же говорить про размер ответственности за такое нарушение в денежном выражении, то он определен в статье 1301 Гражданского Кодекса РФ:
от 10 000 до 5 000 000 рублей (по усмотрению суда);
в двукратном размере стоимости лицензии на исследуемый объект (для его использования тем способом, которым он использовался в ходе исследования).
Также ответственность может выражаться в виде возмещения правообладателю убытков, понесенных им в ходе исследования. При этом закон не ограничивает размер подобных убытков. Поэтому если правообладатель сможет доказать их размер (даже если он будет больше пяти миллионов), то выплачивать надо будет заявленную сумму. Как будут доказываться убытки – это другой вопрос.
Вариант 2. Вред личности или имуществу
Помимо нарушения авторских прав, ответственность предусмотрена еще и за вред личности или имуществу (глава 59 Гражданского Кодекса РФ). По общему правилу вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред. В свою очередь подозреваемый освобождается от возмещения убытков, если докажет свою невиновность.
Более наглядно это можно объяснить так. Представим ситуацию: есть программный комплекс, который отвечает за автоматическую подачу горячей воды в жилые дома. Если исследование на уязвимости стало причиной выведения этого комплекса из строя, то владелец вправе будет рассчитывать на взыскание с исследователя всех понесенных им убытков (включая расходы на ремонт и повторный запуск оборудования). Если те же действия стали причиной нанесения вреда имуществу в тех домах, подачу воды в которые обеспечивал программный комплекс, то и владельцы квартир тоже будут вправе рассчитывать на взыскание своих убытков.
То есть, следует понимать, что если в результате тестирования будет выведен из строя дорогостоящий и сложный программный продукт, то последствия могут быть серьезными, равно как и ответственность за них. И денежные взыскания здесь спокойно могут превышать те пределы, о которых мы говорили, рассматривая случаи с нарушением авторских прав.
Вариант 3. Нарушение условий использования (лицензии)
Зачастую объект исследования (будь то сайт, программное приложение или иной сервис) имеет собственные условия использования. Они могут называться правилами использования, условиями сервиса, лицензией на программу и т.п. В этих условиях может быть предусмотрена дополнительная ответственность пользователя за действия, которые он совершает по отношению к объекту исследования.
Смотри выше пример про сайт «Профдело». Хоть там и некорректно написаны условия авторских прав, но можно считать, что в этом случае для исследователя как раз предусмотрена ответственность за нарушение условий использования сайта – 10 000 рублей за каждую статью или ее часть.
Кроме того, может идти речь и о возмещении убытков владельцу исследуемого ресурса. Пара примеров для наглядности.
Условия использования сайта
https://snob.ru/basement/term
Пользователь обязуется возместить убытки ООО «Сноб Медиа», включая судебные расходы, обусловленные материалами Пользователя, несоблюдением положений настоящего Соглашения или нарушением прав третьих лиц, вне зависимости от того, является ли Пользователь зарегистрированным или нет. Пользователь несет персональную ответственность за действия при пользовании Сайтом, включая, помимо прочего, оплату стоимости доступа к интернету в процессе такого использования.
Условия оказания услуг
http://ru.besv.com/terms-of-service/
5.Компенсация
При нарушении настоящих Условий обслуживания, а также других правовых требований, в случае нарушения прав третьих лиц и при инициировании судебного процесса, в результате такого нарушения, вы соглашаетесь, что Компания и ее филиалы, менеджеры, агенты, сотрудники, службы или контент-провайдеры, распространители и продавцы освобождаются от юридической ответственности в связи с таким нарушением. Также вы соглашаетесь компенсировать вышеперечисленным субъектам все убытки, ущерб, гражданскую ответственность и расходы (включая разумные расходы на оплату услуг адвоката и иные судебные издержки), понесенные в результате этого.
Согласно этим текстам, исследователь, действия которого приведут к убыткам для владельцев сайтов snob.ru и ru.besv.com, может быть привлечен к ответственности за эти убытки. И, если вина будет доказана, он будет вынужден возместить ущерб.
Встречаются даже ресурсы, чьи условия использования прямо содержат запрет поиска уязвимостей.
Правила и условия регистрации на сайте Masters of Taste
https://mastersoftaste.club/legal
В частности, Пользователи не должны:
<…>
- пытаться оценить или проверить уязвимость Сайта, а также нарушать правила безопасности и системы идентификации пользователей Сайта без предварительного письменного согласия Организатора
Условия использования (оферта) сайта kartatalanta.ru
http://kartatalanta.ru/text/terms.php
Используя Сайт Зарегистрированный пользователь обязуется не нарушать или пытаться нарушать информационную безопасность Сайта, что включает в себя:
<…>
5.2. попытки проверить уязвимость системы безопасности Сайта, нарушение процедуры регистрации и авторизации без разрешения Исполнителя;
Поэтому перед тестированием на уязвимости конкретного программного продукта не лишне будет ознакомиться с правилами его использования: посмотреть, не упомянуты ли в них запреты таких действий и не указана ли потенциальная ответственность за них.
В чем выражена административная ответственность?
КоАП РФ содержит обширный список возможных нарушений в сфере защиты информации, среди которых можно выделить два пункта.
Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна) – 13.13 КоАП. Возможная ответственность: административный штраф до 1 000 рублей с конфискацией средств защиты информации или без таковой (для физлиц); до 20 000 рублей с конфискацией средств защиты информации или без таковой (для физлиц).
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей — 13.14 КоАП. Возможная ответственность: административный штраф в размере до 1 000 рублей (для физлиц) до 5 000 рублей (для должностных лиц).
Административная ответственность может налагаться отдельно от гражданско-правовой. То есть некоторые нарушения лежат не в гражданско-правовой плоскости, поэтому формально можно быть также привлеченным к ответственности, если соответствующий состав правонарушения предусмотрен в КоАП.
В чем выражена уголовная ответственность?
Уголовная ответственность за преступления в сфере компьютерной информации предусмотрена 28 главой Уголовного кодекса РФ и применяется при наступлении общественно–опасных последствий. Начнем со статьи 272 УК РФ.
Уголовный Кодекс Российской Федерации, статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
По ней наказуемым может быть только действие в виде доступа к охраняемой законом компьютерной информации. Понятие доступа приведено в статье 8 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. №149 ФЗ, под которым понимается поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных законом.
Под компьютерной информацией (согласно ФЗ «О внесении изменений в уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации» от 07.12.2011 №420 ФЗ) понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
Важно иметь в виду, что привлечение к уголовной ответственности возможно только в том случае, если действия виновного повлекли материальные последствия: уничтожение, блокирование, модификация, копирование компьютерной информации. При отсутствии таких последствий вина в совершении преступления по ст. 272 УК РФ исключается.
Например, если гражданин Иванов, желая проверить верность девушки, использует неправомерно добытый логин и пароль девушки, заходит на ее электронную почту, осуществляет просмотр сообщений, не принимая действий по копированию, изменению или уничтожению информации, то Иванов не будет нести ответственность по ст. 272 УК РФ, так как в действиях Иванова не усматривается общественно опасных последствий. Однако в таких действиях может быть другой состав преступления, который предусмотрен ст. 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений».
Также УК РФ предусматривает уголовную ответственность за следующие деяния:
Уголовный Кодекс Российской Федерации
статья 273. Создание, использование и распространение вредоносных компьютерных программ
- Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
- Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
То есть применение каких-либо вредоносных программ (троянов, кейлоггеров и т.п.), равно как нарушение работы информационных сетей или оборудования в ходе исследования сервиса или иного программного продукта, может также стать отдельным составом преступления.
При отягчающих обстоятельствах (к примеру, действие совершено группой лиц по предварительному сговору), либо при наступлении тяжких последствий, или использовании служебного положения наказание, как правило, усиливается.
Как исследователю снизить риски привлечения к ответственности?
Ответственность может быть исключена в ситуациях, когда действия исследователя не нарушают нормы закона, права и законные интересы третьих лиц. Например, риски привлечения к ответственности можно снизить, когда исследование проводится с ведома и согласия владельца (правообладателя) исследуемого программного продукта. Это может быть письменное согласие с его стороны (двусторонний договор или иная письменная форма согласия, хотя бы электронная переписка), либо это может быть общим соглашением на осуществление подобной деятельности (программа Bug Bounty как раз и будет являться такого рода соглашением). Главное, чтобы у исследователя были в распоряжении доказательства, подтверждающие факт согласия.
Помимо этого исследование не должно причинять вред личности или имуществу иных третьих лиц, а также нарушать авторские права. Стоит также читать условия использования исследуемого продукта, так как в них могут содержаться положения, которые могут повлечь для исследователя дополнительные неприятности в случаях привлечения его к ответственности в судебном порядке. Эта рекомендация справедлива в том числе для программ Bug Bounty: ведь и они порой могут преподносить сюрпризы.
Ну и конечно не стоит забывать, что все зависит именно от обстоятельств конкретной ситуации, поэтому в разных случаях ответы на одни и те же вопросы могут отличаться.
Сведения об иллюстрации:
Luca Bravo