Обновление публикации: автор статьи пояснил, что с ним связались специалисты РЖД. Они совместно с автором закрыли уязвимости. На ресурсе Роскомсвобода автору пообещали помочь в случае необходимости и предоставить правовую защиту.

Вот это уже здорово

был схожий случай в Valve, иим про уязвимости рассказал один молодой хакер, его пригласили в гости, выслушали его рассказ под предлогом, что хотят взять на работу такой талант, и отдали его под суд потом. на работу, конечно, не взяли

срок давности по ст.274.1 УК РФ -10 лет. Вот пусть теперь хакер и живет в ожидании.

Эх, я то надеялся, что ты этот пост в хабре сопоставишь с докладом представителя РЖД на последнем семинаре о том как они категорируются по 187-фз )), на котором кстати был и ФСТЭК. Прямо хочется послушать их комментарии на эту тему.

Он не хакер! Человек открыто и доступно пояснил, что "ларчик" собственно был и не закрыт.

По моему не важно закрыт он или открыт и надо только толкнуть дверь. Права доступа у него не было, соответственно действовал он незаконно

Заметку то читали? Он себя сам позицинирует как хакер "Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним."

Совершенно верно. Осуществил неправомерный доступ к защищаемой чужой информации и осуществил ее копирование.

Хм.... помнится то что хакеры делятся на три типа: белые, серые ну и злостные)))
белые ломают организацию по её же запросу,
серые ломают организацию по запросу и сообщают взломанной организации о бэкдорах и уязвимостях.
про последних пояснять не надо - они копируют информацию и продают её.

Разве не именно этот момент "передача информации, полученной неправомерным способом" является фактом незаконности?
а то, что он сам смог скопировать базу в качестве доказательства и сообщил владельцу о "незакрытой двери", никуда не сливая информацию - плохого поступка-то нет.

с точки зрения УК РФ есть правомерный доступ и неправомерный. Если владелец инфраструктуры не дал официального согласия на проведения таких действий - преступник.

Как я уже писал Выше и исходя из судебной практики уже можно вешать плакаты о том что юрлицо является СуКИИ и что любые действия ведут к уголовной ответственности и забить на соблюдение требований законодательных актов касающихся обеспечения ИБ. Если придерживаться такого подхода то ФСТЭК можно смело распускать. Исходя из данной статьи уже можно сделать сравнительный анализ о соблюдении требований нормативных документов регулятора должностными лицами РЖД. А это уже камень в огород по имиджу ФСТЭК.

зачем смешивать разные сущности? каждый отвечает за свои действия/бездействия. ФСТЭК то причем вообще? она ОРД не занимается

Исходя из статьи автор четко указал как он попал в сеть РЖД, и заметьте это не публичный адрес принадлежащий РЖД, а значит злого умысла в его действиях нет.

31 и 21 приказ ФСТЭК распространяется на РЖД? Камеры случаем не биометрию передают??

вы его заметку прочитайте.

Читал

31 приказ вообще не обязательный.

Передают только в том случае когда биометрия будет распознана

ку ребят