Законный взлом: Госдума приняла в первом чтении законопроект № 509708-8
16 октября Государственная Дума приняла в первом чтении законопроект о праве «белых хакеров» бесплатно и без разрешения автора изучать программу для электронно-вычислительных машин (ЭВМ) в целях выявления недостатков.
Законопроектом № 509708-8 предусматривается предоставление пользователю права «без согласия правообладателя и без выплаты вознаграждения изучать, исследовать или испытывать функционирование программы для ЭВМ или базы данных в целях выявления недостатков для их безопасного использования или поручить иным лицам осуществить эти действия».
Для чего нужна законодательная инициатива?
В нынешней редакции часть 2 статьи 1280 Гражданского кодекса РФ не содержит разрешение на действия, которые выполняются в ходе тестирования на проникновение.
Кроме этого, выполнение тестирования требует от пентестеров получения разрешений от правообладателя каждого ПО, входящего в состав ИС.
- Отсутствие подобных разрешений может повлечь нарушение авторских прав правообладателей ПО, и обязанность нарушителя по возмещению убытков или выплате компенсации до 5 млн рублей (статья 1301 Гражданского кодекса РФ).
- Нарушение авторских прав влечет также риск привлечения к административной и уголовной ответственности.
Какие изменения предлагаются?
Инициатива законодателей исключает нарушения авторских прав на ПО при осуществлении тестирования защищенности ИС.
Законопроектом предусмотрена возможность изучения, исследования или испытания функционирования ПО пользователем в целях выявления его уязвимостей для исправления явных ошибок.
При этом указанные действия осуществляются только в отношении экземпляров ПО, функционирующих на технических средствах пользователя.
Правки в ст. 1280 Гражданского кодекса РФ для защиты правообладателей ПО предусматривают запрет на передачу информации о выявленных в ходе анализа недостатках третьим лицам.
- Подобная информация может быть передана только правообладателю и (или) лицам, у которых есть право на переработку ПО.
- Уведомление необходимо направить правообладателю в течение пяти рабочих дней со дня их выявления.
Законодательная инициативная позволит проводить анализ уязвимостей без разрешения правообладателей ПО.