Российским пентестерам запрещено предоставлять услуги за пределами РФ?

В конце октября прошлого года Евросоюз принял новые правила ограничения распространения продуктов и технологий для обхода средств защиты. В новых правилах этих продукты и технологии получили название «intrusion software», которое расшифровывалось как: «ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:
  • добыча данных или информации из средств вычислительной техники или сетевых устройств, или
  • модификации систем или пользовательских данных, или
  • модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций«. 
Ограничение подразумевало получение специальной экспортной лицензии.
И вот по этому же пути пошел давний союзник Европы — США, которые решили ввести аналогичные правила для своих компаний. На следующей неделе заканчивается срок приема замечаний к данным новым правилам регулирования такого же как и в Европе понятия «intrusion software». Правда американское определение немного отличается от европейского и касается не только ПО, но и «информации, требуемой для разработки, тестирования, совершенствования или оценки ПО для вторжения«. То есть различные компании, которые создают эксплоиты для тестовых целей, сканеры безопасности, средства эмуляции атак, да и просто публикуют информацию об уязвимостях должны получать соответствующую экспортную лицензию (про нее я уже писал).
Некоторые игроки американского рынка ИБ (Symantec, FireEye, WhiteHat и другие) даже создали коалицию, которая должна отстаивать права американских ИБ-компаний на бесконтрольное распространение информации и ПО, подпадающего под новое регулирование. А 6-го августа на предстоящем BlackHat организована специальная сессия, посвященная данной тематике.
Откуда растут ноги у требований, вводимых в США и Евросоюзе? Это известные Вассенаарские соглашения по контролю за распространением технологий двойного назначения, которые контролируют много чего, включая криптографию (именно по ней о Вассенаарских соглашениях многие и знают). Так вот 4 декабря 2013-го года в данные соглашения были внесены новые изменения, среди которых и контроль «intrusion software».
Но самое во всей этой истории другое. Среди 41-й страны, являющейся участницей Вассенаарских соглашений, есть и Российская Федерация, которая по идее должна в своем законодательстве реализовать данные изменения, а значит российские пентестеры и другие компании, занимающиеся схожими услугами и продуктами, должны будут получать экспортную лицензию на данный вид деятельности. Регулирует эту область в России у нас ФСТЭК, а точнее ее подразделение по экспортному контролю.
ЗЫ. Кстати, недавно взломанная Hacking Team в полной мере подпадала под требования европейского экспортного законодательства. Интересно, была у них лицензия на данный вид деятельности или нет?..
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Unknown

    Кстати да, давно заметил что Метасплоит не скачивается если не написать в анкете что ты из США, указав какую-либо другую страну. Оказывается вот почему так.

    Ответить
  2. Анонимный

    Алексей, вы нагнетаете.
    Цель подобной инициативы — ограничить распространение средств и знаний, которые могут быть использованы во вред стране их создавшей. Иными словами на технологические компании накладываются обязательства по контролю распространения информации и экспорта разрабатываемых технологий и средств. Точка.
    Пентестеры ничего не экспортируют, только сетевые пакеты. Формально можно прицепиться к стадии "заливки" на атакуемый хост вредоносного ПО, но в пентесте есть этап "зачистки следов" — "Упавший на пол бутерброд не считается упавшим, если он поднят в течение 3 секунд".

    Ответить
  3. Алексей Лукацкий

    Они экспортируют знания, эксплойты и разработанный ими же софт

    Ответить
  4. Анонимный

    Тогда давайте определимся, что считать распространением.
    Любой вид передачи данных? Должны ли полученные данные быть зафиксированы в каком-либо виде, чтобы состоялся факт их распространения?
    Например, я везу сильно пахнущий букет марихуаны в автобусе. Я распространяю?
    Аналогия близкая на самом деле. Молекулы вещества, байты информации — одно и то же.

    Ответить
  5. Алексей Лукацкий

    Это ты в суде будешь доказывать

    Ответить
  6. Анонимный

    У любого процесса распространения есть субъекты и есть объект. Если отмахиваться от идентификации этих сущностей в каждой конкретной ситуации — "доказывать в суде" будет просто нечего.

    Ответить
  7. Алексей Лукацкий

    Вот в суде это и расскажешь

    Ответить