Пентест как гусарская рулетка
Так называемые пентесты (тесты на проникновение) часто проводятся с использованием вредоносных программ. Тот факт, что обладатель информации и оператор ИС дал своё согласие на доступ, никак не влияет на квалификацию действий пентестера по ст.273 УК. Доступ - это одно, а программы - совсем другое.
Дело в том, что запрет на создание и использование вредоносных программ в российском законодательстве - абсолютный. В отличие, скажем, от изготовления и применения оружия, которое может быть законно при определённых условиях. Вредоносные программы вне закона всегда. Формально их не имеет права использовать даже армия против информационных систем противника во время войны.
К тому же, в российской правоприменительной практике распространено сильно расширительное толкование "вредоносности". То есть привлечь к уголовной ответственности норовят даже за программы, которые просто похожи на вредоносные, хотя таковыми не являются.
Что интересно, пентестеры бывают настолько легкомысленны, что не просто используют эти вредоносные программы. (Ну, применяли бы их втихую. Никто не знает, никто не жалуется. Следовательно, и риск невелик.) Но они ещё и прописывают об этом в договоре с клиентом. То есть сами создают доказательства своей противоправной деятельности.
Сразу отвечу на вопрос, который напрашивается. Нет, прецедентов привлечения к уголовной ответственности за пентест пока не было. Руки не доходили. Но как только у органов иссякнут более лёгкие цели в виде "чёрных инсталляторов" и продавцов дисков с порнухой, неизбежно начнутся проверочные закупки у пентестеров.
Дело в том, что запрет на создание и использование вредоносных программ в российском законодательстве - абсолютный. В отличие, скажем, от изготовления и применения оружия, которое может быть законно при определённых условиях. Вредоносные программы вне закона всегда. Формально их не имеет права использовать даже армия против информационных систем противника во время войны.
К тому же, в российской правоприменительной практике распространено сильно расширительное толкование "вредоносности". То есть привлечь к уголовной ответственности норовят даже за программы, которые просто похожи на вредоносные, хотя таковыми не являются.
Что интересно, пентестеры бывают настолько легкомысленны, что не просто используют эти вредоносные программы. (Ну, применяли бы их втихую. Никто не знает, никто не жалуется. Следовательно, и риск невелик.) Но они ещё и прописывают об этом в договоре с клиентом. То есть сами создают доказательства своей противоправной деятельности.
Сразу отвечу на вопрос, который напрашивается. Нет, прецедентов привлечения к уголовной ответственности за пентест пока не было. Руки не доходили. Но как только у органов иссякнут более лёгкие цели в виде "чёрных инсталляторов" и продавцов дисков с порнухой, неизбежно начнутся проверочные закупки у пентестеров.