Правові та етичні основи
Законодавство, Rules of Engagement, відповідальність пентестера.
Правова база
Україна
- Ст. 361 КК України — незаконне втручання в роботу комп'ютерних систем (до 5 років)
- Ст. 361-1 КК України — несанкціоноване поширення комп'ютерних вірусів (до 3 років)
- Закон «Про захист персональних даних» — обмеження при роботі з персональними даними
Міжнародне
- CFAA (Computer Fraud and Abuse Act, США) — найбільш широко застосовуваний
- Directive on Attacks Against Information Systems (ЄС)
- GDPR (якщо систему використовують громадяни ЄС)
Rules of Engagement (RoE)
Rules of Engagement — документ, що визначає чіткі межі тесту.
Обов'язкові елементи RoE:
- Scope — що саме можна тестувати (IP-діапазони, домени, URL)
- Out of scope — що НЕ можна чіпати (продакшн БД, third-party сервіси)
- Дозволені методи — можна DoS? Соціальна інженерія?
- Терміни — дати початку і закінчення тесту
- Контакти — хто відповідає за екстрені ситуації
- Повідомлення — як та коли звітувати про критичні знахідки
Що НІКОЛИ не можна робити без явного дозволу:
- Атакувати out-of-scope системи
- Видаляти або модифікувати дані
- Розголошувати знахідки третім особам
- Продовжувати тест після закінчення дозволеного часу
RoE = карта дозволеної зони
Уяви що ти отримав дозвіл обшукати будинок. RoE точно вказує: можна — перший поверх, кімнати 1-3; не можна — підвал і особисті сейфи; методи — без зламу замків. Пентестер, що виходить за ці межі, сам стає злочинцем.
Перед будь-яким тестом отримай письмовий дозвіл (Statement of Work + Scope Agreement), підписаний уповноваженою особою організації (CEO/CTO/CISO — не просто IT-адмін). Збережи копію — вона захистить тебе юридично.
Bug Bounty платформи (HackerOne, Bugcrowd) надають офіційний дозвіл на тестування в межах визначеного scope. Вихід за межі scope навіть у Bug Bounty програмах може призвести до кримінального переслідування.