Португалия защитила исследователей уязвимостей от уголовного преследования
3 мин
31
Португалия обновила законодательство о кибербезопасности и закрепила правовую защиту для исследователей уязвимостей. По новым правилам страна больше не наказывает за обнаруженные баги, если человек работает исключительно для выявления уязвимостей и их раскрытия ради повышения безопасности.
Обязательное условие для такой защиты — исследователи не должны получать экономическую выгоду, кроме вознаграждения за профессиональную деятельность. О выявленных уязвимостях необходимо немедленно сообщить разработчику ПО. Работа не должна разрушать системы или повреждать данные. Отказ в обслуживании, социальная инженерия и фишинг остаются под запретом. Однако действия с согласия владельца системы полностью легальны.
Вслед за Португалией в Великобритании началось обсуждение изменений закона о компьютерных злоупотреблениях, которому уже 35 лет. В начале декабря 2025 года министр безопасности Дэн Джарвис признал, что закон пора обновить, поскольку специалисты по кибербезопасности не должны бояться уголовного преследования за свою работу. На конференции Financial Times Джарвис заявил, что правительство услышало критику и намерено создать законодательную защиту для киберисследователей. Она позволит обнаруживать и сообщать об уязвимостях при соблюдении определённых мер предосторожности.
Британский закон о компьютерных злоупотреблениях приняли в 1990 году. Поводом стало дело IT-журналиста Стива Голда и хакера Роберта Шифрина. Их обвинили в несанкционированном доступе к почтовому аккаунту герцога Эдинбургского в системе BT Prestel.
Сначала обвиняемых судили по законодательству о подделке документов, но затем освободили по апелляции. Правительство отреагировало созданием специального закона. Его принимали до распространения исследований в области кибербезопасности и электронной коммерции. На момент принятия закона киберпреступность в нынешнем виде не существовала, как и система ответственного раскрытия уязвимостей.
Операционный директор бельгийской платформы Intigriti Эд Парсонс заявил, что реформа британского закона требовалась 20 лет назад, а сейчас стала ещё актуальнее. Он напомнил, что в 2016 году правительство Великобритании пообещало сделать страну самым безопасным местом для жизни и онлайн-бизнеса. Спустя 10 лет цель не достигнута, потому что законодательство само себе связывает руки.
Генеральный директор группы по киберполитике CSBR Джеймс Моррис отметил, что британское правительство в нескольких созывах тянуло с реформой закона. По его словам, стране нужно срочно обновить всё соответствующее законодательство для поддержки национальных усилий по укреплению кибербезопасности и устойчивости. Сейчас через парламент проходит закон о кибербезопасности и устойчивости, который тоже требует актуализации.
Изменения в Португалии прокомментировал Дэниел Катберт, осуждённый по британскому закону о компьютерных злоупотреблениях в октябре 2005 года. В декабре 2004 года Катберт перевел деньги на сайт помощи жертвам цунами. Подтверждение транзакции не пришло. Катберт решил проверить, не мошеннический ли это ресурс, и провёл пару тестов. Сработала система обнаружения вторжений. Районный судья признал дело доказанным, но сказал, что делает это с большим сожалением. Катберт отметил, что португальские изменения строго регламентированы и требуют пропорциональности действий в области безопасности. Он назвал поправку позитивной и выразил надежду, что другие страны последуют примеру Португалии и дадут исследователям «безопасную гавань» для поиска уязвимостей и сообщения о них.
