Тестирование на проникновение (пентест) является неотъемлемой частью стратегии кибербезопасности любой современной компании. Однако с юридической точки зрения действия пентестеров — это моделирование компьютерных атак, которые в отсутствие надлежащего правового оформления подпадают под действие статей 272, 273 и 274 УК РФ (неправомерный доступ к компьютерной информации, создание вредоносных программ и нарушение правил эксплуатации систем). Чтобы «этичный хакинг» не превратился в уголовное дело, необходим грамотно составленный договор на пентест риски которого для заказчика и исполнителя должны быть сведены к нулю.
Без подписанного договора и технического задания с четко очерченными границами, любые действия по сканированию уязвимостей могут быть квалифицированы правоохранительными органами как киберпреступление. Договор — это ваша единственная легитимация вмешательства в работу информационных систем.
Ключевые риски при заключении договора на Pentest
Основная проблема типовых договоров на оказание услуг по информационной безопасности заключается в их размытости. В контексте пентеста фраза «оказать услуги по проверке безопасности» недопустима. Договор должен содержать исчерпывающий перечень разрешенных действий и, что еще важнее, запрещенных методов. Основные риски, которые необходимо нивелировать юридически:
- Риск нарушения доступности сервисов (DoS). Пентест может случайно «положить» боевой сервер. В договоре должны быть прописаны лимиты ответственности исполнителя за простой бизнеса (Downtime) и условия проведения работ (например, только в ночное время или на тестовом контуре).
- Риск утечки данных третьих лиц. Если в ходе теста пентестер получает доступ к персональным данным клиентов заказчика, возникает вопрос о соблюдении законодательства о ПДн. Исполнитель должен подписать жесткий NDA.
- Выход за пределы Scope (области тестирования). Атака на подсеть, не принадлежащую заказчику (например, облачного провайдера), приведет к иску от провайдера. Договор должен содержать точные IP-адреса и домены, разрешенные для атаки.
Структура безопасного контракта: Rules of Engagement
Юристы Ви Эф Эс Консалтинг настаивают на включении в текст договора или неотъемлемого приложения к нему раздела «Rules of Engagement» (Правила взаимодействия). Этот раздел детально регламентирует технические и организационные аспекты:
Методология тестирования
Необходимо четко зафиксировать метод проведения работ: Black Box (без предоставления данных), Gray Box (с правами пользователя) или White Box (с полным доступом). Для каждого метода прописываются свои ограничения. Например, при Black Box запрещается использование социальной инженерии в отношении сотрудников бухгалтерии, если это не оговорено отдельно.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
Ограничение ответственности (Indemnification)
Исполнители часто требуют включения пункта об отказе от ответственности за любой ущерб, причиненный в ходе тестирования. Для Заказчика это неприемлемо. Мы рекомендуем сбалансированную формулировку:
- Исполнитель несет ответственность за ущерб, причиненный умышленными действиями или грубой неосторожностью (выход за пределы Scope).
- Исполнитель не несет ответственности за временную недоступность системы, если она стала следствием штатного применения согласованных инструментов сканирования.
- Устанавливается «Cap» (верхний предел) ответственности, обычно привязанный к стоимости контракта, но не менее определенной суммы для покрытия реального ущерба.
Правовая чистота инструментов (Exploits)
В договоре важно затронуть вопрос лицензионной чистоты используемого ПО. Использование пиратских сканеров или самописных эксплойтов сомнительного происхождения может создать дополнительные риски. Заказчик вправе потребовать гарантий, что используемые инструменты не содержат «закладок» и не передают данные на сторонние серверы.
Особое внимание следует уделить процедуре «уборки» (Cleanup). Договор должен обязывать исполнителя удалить все загруженные скрипты, бэкдоры и созданные учетные записи после завершения тестирования. Отчет о пентесте должен передаваться исключительно по шифрованным каналам.
Согласование с третьими сторонами
Если инфраструктура заказчика находится в облаке (AWS, Yandex Cloud, Azure) или на хостинге, договор на пентест должен содержать пункт о наличии у заказчика права на проведение аудита. Заказчик гарантирует исполнителю, что получил письменное согласие провайдера на проведение нагрузочного тестирования или сканирования, либо что такое согласие не требуется по условиям оферты провайдера. В противном случае, регрессные иски от дата-центра будут переадресованы заказчику.
Комплексный подход к составлению договора на пентест позволяет превратить его из формальности в действенный инструмент защиты бизнеса, четко разграничивая ответственность и создавая безопасное пространство для выявления уязвимостей.