Договор на пентест: легализация взлома и юридические риски

Уголовная ответственность и легализация взлома

Компании заказывают тестирование на проникновение для поиска уязвимостей. Без юридического оформления действия пентестеров подпадают под статьи 272, 273 и 274 Уголовного кодекса РФ. Правоохранительные органы квалифицируют несанкционированный доступ к информации как преступление. Следователи не различают этичный хакинг и злой умысел без наличия договора.

Стороны заключают соглашение до начала любых технических работ. Документ подтверждает согласие владельца системы на вмешательство. Юристы Ви Эф Эс Консалтинг помогают составить договор, который защищает исполнителя от тюремного срока, а заказчика от претензий регуляторов.

Договор на пентест служит единственным легальным основанием для имитации кибератаки на информационную систему предприятия.

Определение границ тестирования: Scope of Work

Заказчик обязан четко очертить область исследования. Ошибки в перечне IP-адресов или доменов приводят к атакам на сторонние сервисы. Владельцы соседних серверов в дата-центре подают иски, если действия пентестеров затрагивают их инфраструктуру.

В тексте договора или технического задания стороны фиксируют:

• список целевых IP-адресов и диапазонов сетей;
• перечень доменных имен и поддоменов;
• названия мобильных приложений и адреса API-интерфейсов;
• конкретные физические адреса офисов для проверки методами социальной инженерии;
• идентификаторы облачных ресурсов.

Исполнитель не имеет права выходить за рамки согласованного списка. Любое отклонение юристы расценивают как нарушение условий контракта и повод для расторжения отношений.

Правила взаимодействия: Rules of Engagement

Стороны согласовывают методы и время проведения работ. Пентест часто создает нагрузку на серверы и каналы связи. Чтобы бизнес не нес убытки, юристы прописывают регламент атак. Раздел Rules of Engagement исключает споры о методологии исследования.

В регламент включают следующие пункты:

1. Тип тестирования: Black Box, Gray Box или White Box.
2. Запрет или разрешение на проведение DoS-атак.
3. Ограничения по времени проведения работ (например, только в ночные часы или выходные дни).
4. Список запрещенного программного обеспечения и эксплойтов.
5. Процедуру экстренной остановки работ при возникновении инцидента.

Специалисты Ви Эф Эс Консалтинг рекомендуют внедрять в договор условие об обязательном уведомлении системных администраторов заказчика перед началом активной фазы сканирования.

VFS CONSULTING Юридические решения для малого, среднего и крупного бизнеса в России и за рубежом

Консультация

+7 (495) 118 24 84

Задать вопрос эксперту

Ответственность за простой и ущерб

Проверка безопасности рискует вызвать отказ в обслуживании (Downtime). Боевые серверы могут перестать отвечать на запросы клиентов. Заказчик требует компенсации за потерянную прибыль, а исполнитель стремится ограничить свою ответственность.

Мы предлагаем устанавливать сбалансированные лимиты. Исполнитель отвечает за вред, который причинил умышленно или по грубой неосторожности. Если система упала из-за штатного срабатывания сканера уязвимостей, ответственность ложится на владельца инфраструктуры. Стороны устанавливают предельную сумму выплат (Cap), которая обычно не превышает стоимость контракта.

Грамотное распределение ответственности в договоре предотвращает затяжные судебные разбирательства из-за временной недоступности сервисов.

Конфиденциальность и обработка персональных данных

Пентестеры получают доступ к конфиденциальной информации и базам данных клиентов. Стороны подписывают соглашение о неразглашении (NDA) с жесткими штрафами. Юристы включают в договор пункты о соблюдении закона 152-ФЗ «О персональных данных».

Исполнитель обязуется использовать защищенные каналы связи для передачи отчетов. Шифрование файлов предотвращает перехват данных злоумышленниками. После завершения работ тестировщики проводят процедуру «уборки» (Cleanup). Они удаляют созданные учетные записи, временные файлы, скрипты и бэкдоры. Факт удаления стороны фиксируют в итоговом акте оказанных услуг.

Взаимодействие с провайдерами и третьими лицами

Многие компании размещают данные в Yandex Cloud, Selectel или других облачных сервисах. Договоры с хостинг-провайдерами часто запрещают сканирование уязвимостей без их согласия. Заказчик обязан получить разрешение от владельца дата-центра или облачной платформы.

Юристы Ви Эф Эс Консалтинг проверяют условия оферт провайдеров. Мы помогаем составить уведомление для службы безопасности хостинга. Если заказчик не получил согласие, провайдер может заблокировать серверы за подозрительную активность. Ответственность за такие блокировки стороны возлагают на заказчика, если он не обеспечил правовой доступ к инфраструктуре.

Комплексный подход к подготовке договора на пентест минимизирует риски бизнеса. Юридическая обвязка превращает опасную процедуру в контролируемый процесс улучшения защиты предприятия.