“Когда исследователь находит дыру в протоколе шифрования, об этом сообщают производителю. Когда находят уязвимость в маршрутизаторе, отдают в CVE. А когда открывают принципиально новый вектор атаки на технологию, которая по закону должна применяться, но её никто не изучал на предмет рисков? Здесь действуют другие правила — этические, правовые и регуляторные. И да, это касается именно российского IT-сообщества.”
В мире информационной безопасности сложилась парадоксальная ситуация. С одной стороны, есть устоявшаяся практика ответственного раскрытия уязвимостей для коммерческих продуктов. С другой — существует целый пласт технологий, которые по факту являются частью критической инфраструктуры государства, но формально не являются коммерческим продуктом конкретного вендора. Это ГОСТы, криптографические алгоритмы, средства защиты информации (СЗИ), сертифицированные ФСТЭК России. Их исследование на предмет уязвимостей сопряжено не столько с техническими, сколько с этическими и правовыми дилеммами, которые редко обсуждаются открыто.
Граница, которой не существует: где заканчивается «белая шляпа»
Классическая этика краша тестирования или поиска уязвимостей предполагает добросовестность: нашли — сообщили вендору, дали время на исправление, обнародовали. Эта модель работает, когда у вендора есть команда реагирования (PSIRT/CERT), дорожащая репутацией, и есть кому «звонить». Что делать исследователю, если объектом изучения становится, например, механизм создания и проверки квалифицированной электронной подписи, регламентированный приказом ФСБ России, или алгоритм, описанный в национальном стандарте ГОСТ Р 34.11-2012?
Здесь нет единого «вендора» в привычном понимании. Стандарт, это документ, утверждённый Росстандартом. Средства криптографической защиты информации (СКЗИ) сертифицируются ФСБ. Средства защиты информации от несанкционированного доступа (СЗИ НСД) проходят сертификацию ФСТЭК. Публичное сообщение о потенциальной уязвимости в таком фундаменте, это не просто технический баг-репорт. Это публичный вопрос к компетенции регулятора и устойчивости всей системы регулирования. Действия исследователя мгновенно выходят из плоскости техники в плоскость политики и юриспруденции.
Особенно остро этот вопрос встаёт, когда исследование затрагивает технологии, обязательные к применению по 152-ФЗ или отраслевым требованиям. Обнаружение фундаментального изъяна в таких технологиях ставит под сомнение безопасность тысяч организаций, уже внедривших их. Этический выбор исследователя: молчание (и потенциальная угроза национальной безопасности), приватное информирование регулятора (без гарантий реакции) или публичная демонстрация (с риском обвинений в подрыве основ).
Исследование как акт: ответственность перед обществом и законом
Мотивация учёного или security-аналитика — расширение границ знания, поиск истины. Но когда результат этого поиска может быть немедленно использован для реальных атак на банки, госорганы или системы управления, абстрактная «истина» обретает вес. В российской правовой системе нет прямых аналогов американской Computer Fraud and Abuse Act (CFAA), но есть статьи 272, 273 УК РФ («Неправомерный доступ к компьютерной информации», «Создание, использование и распространение вредоносных компьютерных программ»).
Лабораторное исследование, включающее создание прототипа эксплойта для уязвимости в СКЗИ, формально может подпадать под эти статьи, особенно если код будет опубликован. Регуляторы и силовые структуры могут расценить сам факт глубокого анализа защищённой технологии как подготовку к неправомерному доступу. Исследователю приходится балансировать на тонкой грани: с одной стороны, необходимо доказать работоспособность уязвимости (PoC), с другой — не предоставить готовый инструмент для злоумышленников.
«Серые зоны» российского регулирования: что можно, а что нельзя исследовать
Прямых запретов на изучение ГОСТов или криптоалгоритмов в законодательстве нет. Однако существуют смежные ограничивающие факторы, создающие «серую зону».
- Ограничения на распространение средств криптографической защиты. Само владение или передача некоторых видов СКЗИ без лицензии ФСБ может быть нарушением. Если исследование включает обратную разработку такого средства, это потенциально попадает под действие административного или уголовного кодекса.
- Требования к аттестации объектов информатизации. Если исследуемая технология является частью аттестованной системы, её модификация или тестирование вне аттестованной конфигурации может считаться нарушением режима.
- Корпоративная тайна и коммерческая тайна разработчиков СЗИ. Многие российские вендоры СЗИ трактуют внутреннее устройство своих продуктов как коммерческую тайну. Публичный анализ, даже с благими намерениями, может привести к судебным искам о её разглашении.
Фактически, безопаснее всего исследовать открытые, но широко применяемые по требованию регулятора технологии, например, некоторые аспекты реализации 152-ФЗ (такие как механизмы учёта и хранения журналов безопасности). Но даже здесь есть подводные камни: публикация эффективного метода обхода таких механизмов может быть расценена как инструкция к нарушению закона.
Практический сценарий: как действовать, если найдено что-то серьёзное
Предположим, исследователь обнаружил теоретическую уязвимость в алгоритме, используемом для формирования электронной подписи в системе межведомственного электронного взаимодействия. Как поступить?
- Консультация с юристом, специализирующимся на IT-праве. Первый шаг — не технический, а юридический. Необходимо оценить риски публикации, соответствие действий ст. 272, 273 УК РФ, а также законам о гостайне и коммерческой тайне.
- Приватное информирование через доверенный канал. Идеального «координационного центра» по примеру международного CERT для национальных стандартов нет. Логичными точками контакта могут быть:
- Технический комитет по стандартизации, разработавший конкретный ГОСТ.
- Научно-исследовательский институт при профильном регуляторе (например, ФСБ или ФСТЭК).
- Крупный, пользующийся доверием государства, разработчик СЗИ, чьи продукты используют этот алгоритм.
- Подготовка строго ограниченного отчёта. Отчёт должен содержать детальное теоретическое описание проблемы, математическое обоснование, но избегать публикации готового эксплойтирующего кода. Вместо кода — чёткое описание шагов для верификации уязвимости легитимными разработчиками.
- Установление разумных сроков реагирования. С коммерческим вендором действует правило 90-120 дней. С государственной структурой сроки неформализованы. Исследователю стоит быть готовым к многомесячному ожиданию ответа и возможному полному замалчиванию проблемы.
- Принятие решения о публикации. Если через доверенный канал реакция нулевая, а уязвимость представляет существенную угрозу, этическая дилемма обостряется. Публикация без кода в научном журнале или на профильной конференции под своим именем — максимально ответственный, но и максимально рискованный вариант.
Будущее: к формированию этического кодекса и каналов доверия
Текущая ситуация, когда каждый исследователь действует на свой страх и риск, неустойчива. Она отпугивает талантливых специалистов от работы с наиболее важными для национальной безопасности технологиями. Для изменения ситуации необходим диалог между научным сообществом, индустрией разработки СЗИ и регуляторами.
Потенциальные шаги:
- Создание при регуляторе (например, при ФСТЭК России) этического комитета или рабочей группы по приёму ответственных отчётов об уязвимостях в регулируемых технологиях. Это дало бы исследователям легитимный канал связи и гарантии рассмотрения.
- Разработка и публикация руководств по безопасным методам исследования (Safe Harbor Research Guidelines) для национальных стандартов и СЗИ. Чёткие правила, описывающие, какие действия (например, теоретический криптоанализ, фаззинг интерфейсов) не будут преследоваться, снимут правовую неопределённость.
- Включение в программы государственных грантов на исследования в области информационной безопасности тем, связанных с аудитом и усилением существующих регулируемых технологий. Это легализовало бы такие исследования в рамках конструктивной работы на государство.
Безопасность системы, построенной на доверии к криптографии и стандартам, прямо зависит от возможности этой системы проходить независимую проверку. Этика исследования таких технологий, это не сдерживающий фактор, а необходимый элемент их эволюции и укрепления. Задача сообщества — превратить эту этику из набора негласных запретов в прозрачные, работающие правила, которые защищают и исследователя, и безопасность страны.