Казахстанским специалистам по информационной безопасности планируют выдавать лицензии, чтобы они занимались взломами официально, сообщил заместитель председателя Комитета по информационной безопасности Министерства оборонной и аэрокосмической промышленности РК Руслан Абдикаликов.
"Есть молодые ребята. Им интересно заниматься исследовательским делом, изучать уязвимости, сканировать ресурсы. Но по текущему законодательству это очень тонкая грань, можно попасть под статью 205 Уголовного кодекса "Неправомерный доступ к информации" и сесть за это. Чтобы не отбить охоту, а, наоборот, дать возможность заниматься легально, мы такую возможность предусмотрели", – сказал Руслан Абдикаликов на SOC (Security Operations Center) Forum 2018.
Он пояснил, что, по законодательству РК, нужно договориться с владельцем сайта на поиск уязвимости и передать ему результаты, а не выкладывать информацию во всеобщий доступ и хвастаться взломом компаний.
"Понятно, что это люди специфичные. Как товар двойного назначения. Он может что-то полезное делать, а с другой стороны, нет гарантии, что он не сделает что-то противоправное. Конечно, таких людей мы должны знать, понимать, что они делают, дать возможность легально заработать", – добавил Абдикаликов.
Таким образом, правоохранительные органы смогут привлекать хакеров к работе при расследовании сложных киберпреступлений. И хакеры смогут честно зарабатывать.
На сегодня в Казахстане де-юре все специалисты по информационной безопасности находятся вне правового поля, а де-факто в республике работают компании и предоставляют услуги по так называемому пентесту (метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника).
Пока Комитет национальной безопасности отказывает в выдаче лицензий, потому что ещё не готов Национальный координационный центр информационной безопасности. Одно из условий – это обязательное подключение к центру организаций. Центр должен начать работу в конце года. Такие компании как "Казахтелеком", "Транстелеком", "Казтелепорт" и "Цеснабанк" уже могут получить лицензии.
Читайте также: Специалисты назвали казахстанские сайты, атакованные хакерами в 2017 году
Директор Центра анализа и расследования кибератак Арман Абдрасилов заявил, что его организация стала инициатором этого предложения. Он считает, что госорганы не заинтересованы в расследовании киберпреступлений.
"Три-четыре года назад мы сами нашли хакера, атаковавшего один из банков. Он взломал один из иностранных сайтов. Мы нашли город, компьютер. Написали письмо в МВД, что готовы бесплатно поучаствовать, чтобы понять, как этот бизнес-процесс работает, готовы командировать человека. Годы прошли, никому это неинтересно", – рассказал он.
Поиск уязвимостей в Казахстане грозит уголовным преследованием.
"Есть владелец ресурса в лице "Зерде", АО "НИТ" (Национальные информационные технологии"), который формально проводит аудит в госкомпаниях либо, так скажем, в аффилированных частных компаниях. И специалисты видят, что уязвимости есть фактически, а формально их нет, потому что есть замечательные красивые отчёты", – отметил Абдрасилов.
Он поделился впечатлениями об опыте общения с госорганами. Центр обращался в одно ведомство и указал на уязвимости. Ему ответили, что есть планы, и нужно несколько лет и финансирование, чтобы устранить недостатки. Но затем после публикации в социальных сетях проблему устранили через 20 минут.
Ранее сообщалось, что число хакерских атак на госорганы в Казахстане выросло с 1 млрд в 2016 году до 20 млрд в 2017 году.
