Публикувана на 14.02.2025 от Questo
Последна промяна на 14.02.2025
Българската асоциация по киберсигурност предлага законодателни промени, които ще изсветлят дейността на етичните хакери в онази част, която в момента е в сивата зона: неоторизираното тестване на информационни системи.
БАК предлага всяко физическо или юридическо лице да може да тества информационни системи и да докладва за откритите уязвимости, без да носи наказателна отговорност за това. Според асоциацията в момента такава правна защита няма или поне не е добре дефинирана.
За да може един етичен хакер да си върши работата – която е да тества информационни системи за уязвимости – той трябва първо да получи изрично писмено съгласие от собственика на информационната система.
Което пък означава, че ако етичният хакер тества без знанието на собственика, открие уязвимост и добросъвестно я докладва, за това може да се носи наказателна отговорност.
Наказателният кодекс например предвижда и затвор за лице, което „неправомерно осъществи достъп до информационна система или части от нея“.
Според БАК компаниите и институциите в България не са достатъчно проактивни в това да тестват и защитават информаицонните си ситеми. Това поражда необходимостта да се регламентира законово дейността на етичните хакери, „за да може хиляди обучени експерти по мрежова и информационна сигурност да започнат да допринасят за неутрализирането на киберзаплахи“.
Предложените промени в Закона за киберсигурност ще позволят на етичните хакери да тестват информационни системи, стига след това да докладват незабавно откритите уязвимости на засегнатите страни, да не обявяват публично откритите уязвимости и да не злоупотребяват с тях.
Идеята за регламентиране на етичното хакерство в България беше лансирана от БАК през 2024 г., но сега вече е входирана към Комисията по електронно управление и информаицонни технологии и може да започне да се придвижва нагоре по законотворната верига.
Предложението, което е входирано от Народното събрание в началото на февруари 2025 г., стъпва на Белгийското законодателство. През 2023 г. Белгия легализира нерегламентирания достъп до информационни системи, когато той е направен и след това докладван добросъвестно.
Добросъвестно означава, че хакерът веднага е докладвал за уязвимостта на засегнатата организация и на компетентните органи, не е поискал да му се плати за откриетието (освен ако компанията сама не е предложила възнагрждение за открита уязвимост) и е изтрил всички данни, до които е получил достъп при откриването на уязвимостта.
Някои юристи предупреждават, че белгийският пример съдържа някои твърде общи и неясни понятия, което може да размие границата между това кое е законно и кое – не. Специално внимание се обръща на думите „необходимо и пропорционално“, които фигурират и в българското предложение.
„Новият закон използва твърде отворени понятия като „необходимо и пропорционално“, за да опише кои действия на етичните хакери са позволени – коментират юристите Шарлот Сомерс, Коен Вранкерт и Лора Дрехслер. – Необходимото и пропорционалното винаги зависят от конкретната ситуация и това пречи да се прогнозира кои техники могат или не могат да се използват от етичните хакери“.
Подобни статии
