Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Российским пентестерам запрещено предоставлять услуги за пределами РФ?

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(7)
()
В конце октября прошлого года Евросоюз принял новые правила ограничения распространения продуктов и технологий для обхода средств защиты. В новых правилах этих продукты и технологии получили название "intrusion software", которое расшифровывалось как: "ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:

  • добыча данных или информации из средств вычислительной техники или сетевых устройств, или
  • модификации систем или пользовательских данных, или
  • модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций". 
Ограничение подразумевало получение специальной экспортной лицензии.

И вот по этому же пути пошел давний союзник Европы - США, которые решили ввести аналогичные правила для своих компаний. На следующей неделе заканчивается срок приема замечаний к данным новым правилам регулирования такого же как и в Европе понятия "intrusion software". Правда американское определение немного отличается от европейского и касается не только ПО, но и "информации, требуемой для разработки, тестирования, совершенствования или оценки ПО для вторжения". То есть различные компании, которые создают эксплоиты для тестовых целей, сканеры безопасности, средства эмуляции атак, да и просто публикуют информацию об уязвимостях должны получать соответствующую экспортную лицензию (про нее я уже писал).

Некоторые игроки американского рынка ИБ (Symantec, FireEye, WhiteHat и другие) даже создали коалицию, которая должна отстаивать права американских ИБ-компаний на бесконтрольное распространение информации и ПО, подпадающего под новое регулирование. А 6-го августа на предстоящем BlackHat организована специальная сессия, посвященная данной тематике.

Откуда растут ноги у требований, вводимых в США и Евросоюзе? Это известные Вассенаарские соглашения по контролю за распространением технологий двойного назначения, которые контролируют много чего, включая криптографию (именно по ней о Вассенаарских соглашениях многие и знают). Так вот 4 декабря 2013-го года в данные соглашения были внесены новые изменения, среди которых и контроль "intrusion software".

Но самое во всей этой истории другое. Среди 41-й страны, являющейся участницей Вассенаарских соглашений, есть и Российская Федерация, которая по идее должна в своем законодательстве реализовать данные изменения, а значит российские пентестеры и другие компании, занимающиеся схожими услугами и продуктами, должны будут получать экспортную лицензию на данный вид деятельности. Регулирует эту область в России у нас ФСТЭК, а точнее ее подразделение по экспортному контролю.

ЗЫ. Кстати, недавно взломанная Hacking Team в полной мере подпадала под требования европейского экспортного законодательства. Интересно, была у них лицензия на данный вид деятельности или нет?..
Total votes: 0
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя extraterrestrial

Интересно получается. То есть выступления на конференциях с докладами по ИБ (например, с анализом какой-либо защиты) без лицензии будет невозможно ? И публикация такой информации в блоге ? К теме тех же выступлений, если, например, рассказывать доклад в своей стране (но на международной конференции), то на это тоже будет нужна лицензия?

up
19 users have voted.
Аватар пользователя alukatsk

Нет, это касается только экспорта. Внутри страны можно делать все, что угодно (в пределах УК/КоАП)

up
56 users have voted.
Аватар пользователя extraterrestrial

По поводу локальных конференций понятно, а что по поводу зарубежных ? Это уже экспорт ?
Также, среди организаторов конференций распространена практика выкладывания материалов в публичный доступ, они не смогут это делать (ведь читают все, в том числе иностранцы)?

up
24 users have voted.
Аватар пользователя alukatsk

Экспорт :-( Поэтому американцы так и возмущаются сейчас

up
20 users have voted.
Аватар пользователя extraterrestrial

Печально :( А если в штаты приедет какой-то китаец (Китай, я так понимаю не подписывал соглашение http://www.wassenaar.org/participants/index.html) и расскажет про какой-то обход, то это уже легитимно и в ? Так как в его стране нет ограничений на экспорт.

up
33 users have voted.
Аватар пользователя extraterrestrial

не дописал - и в штатах никто ему ничего не скажет

up
32 users have voted.
Аватар пользователя cwZerro

В России как раз всё есть. Мы уже писали про это в материале http://bis-expert.ru/news/Proect_Ukaza_519

up
21 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.