Законопроект о "белых хакерах" застрял на стадии обсуждения из-за позиции ФСБ

[Rehub]

Введение понятия bug bounty в правовое поле может быть отложено.

Принятие законопроекта о "белых хакерах", предлагающего ввести понятие bug bounty в правовое поле и изменения в Уголовный кодекс, может быть отложено из-за недовольства ФСБ и ФСТЭК. Об этом пишет издание "Ведомости" со ссылкой на источники в компаниях по кибербезопасности и собеседников, знакомых с ходом обсуждения законопроекта.

Минцифры с лета 2022 года пытается ввести в правовое поле понятие bug bounty. По данным одного из собеседников из компании по кибербезопасности, законопроект предполагает внесение изменений в статью 272 Уголовного кодекса о неправомерном доступе к компьютерной информации. Максимальное наказание по этой статье составляет семь лет лишения свободы. Ответственность наступает, если незаконный доступ повлек за собой модификацию и копирование компьютерной информации.

Однако продвижение законопроекта в существующем виде приостановлено из-за позиции ФСБ и ФСТЭК. Согласно источнику из газеты, эти ведомства выступают против либерализации положений Уголовного кодекса и высказывали соответствующую позицию на одном из рабочих совещаниях по законопроекту.

Издание направило запросы в оба ведомства, в Минцифры от комментариев отказались.

Другой источник указывает, что позицию ФСБ и ФСТЭК выражали их сотрудники на рабочих совещаниях по законопроекту в Минцифры. Как утверждает один из собеседников, грань между уголовно наказуемыми действиями и легальными «очень зыбкая», а «менять УК никто не будет».

Издание также сообщает, что сейчас вознаграждения за поиск уязвимостей в информационных системах предлагаются тремя российскими компаниями: Positive Technologies, "Синклит" и BI.ZONE. Представитель Positive Technologies Артем Сычев подчеркнул, что законопроект позволит "активизировать тех исследователей, которые опасаются каких-либо правовых последствий", а компания участвует в его обсуждении.

Технический директор компании "Синклит" Лука Сафонов также выразил мнение, что хотя его компания не участвовала в обсуждении инициативы о "белых хакерах", законопроект, направленный на их регулирование, определенно необходим. Он отметил, что помимо уголовной статьи 272 УК, "белые хакеры" также могут столкнуться с наказанием по статье 273 УК ("Создание, использование и распространение вредоносных компьютерных программ"). Сафонов считает, что инициатива может встретить противодействие силовых ведомств «в части возможной легализации компьютерных преступлений». По его словам, законопроект может не устроить и самих пентестеров — в случае, если потребует от исследователей выйти из тени, к чему многие из них определенно не готовы.

Адвокат Максим Маценко, руководитель уголовной практики Vinder Law Office, считает, что проблем с уязвимостью "белых хакеров" не существует. Он объясняет, что участие хакера в программе по поиску уязвимостей за деньги предполагает, что компании, участвующие в проекте, добровольно предоставляют свои сети для поиска уязвимостей, что полностью исключает уголовную ответственность при условии, что хакер не выходит за пределы своих прав.

source: vedomosti.ru/technology/articles/2023/03/27/968188-zakonoproekt-o-belih-hakerah-vizval-voprosi-u-silovikov?from=newsline

 

[INC.]

Отечественные силовые структуры выступили против легализации «белых» хакеров, которые ищут уязвимости в ПО и сервисах за деньги и по заказу разработчиков. Это тормозит развитие в России программ Bug Bounty – «белые» хакеры вполне обоснованно опасаются уголовного преследования.

В России белый цвет не в моде

Российские силовые структуры единым фронтом выпустили против легализации в стране так называемых «белых» хакеров, пишет РБК. Так называют специалистов по взлому, которые применяют свои навыки во благо и по заказу разработчиков – они занимаются поиском уязвимостей в их ПО и сервисах, чтобы те могли заранее устранить их. Делается это для того, чтобы их не нашли и не проэксплуатировали обычные хакеры. На работе «белых» хакеров во всем мире строятся программы Bug Bounty – такие есть у очень многих крупных компаний, они платят «белым» хакерам за поиск уязвимостей. Подобным, к примеру, официально занимаются Microsoft и Amazon. Общепринятый символ движения «белых» хакеров – белая шляпа.

Также существуют целые агрегаторы программ Bug Bounty, чтобы заказчикам и исполнителям было проще находить друг друга. Самая известная – это HackerOne, которая после 24 февраля 2022 г. не очень хорошо относится к российским специалистам. В России подобные проекты тоже имеются – один из таких агрегаторов ранее запустила ИБ-компания Positive Technologies.

Уголовный кодекс менять не надо

Против легализации «белых» хакеров совместно выступают Министерство внутренних дел и Генпрокуратура России, а также Следственный комитет. Все они утверждают, что никакие поправки в УК РФ, которые могли бы легализовать этичных хакеров, вносить не нужно.

О таком отношении силовиков к «белым» хакерам, по данным РБК, стало известно во время обсуждения этих поправок в Госдуме 28 ноября 2023 г.

Фактически, силовики выступили против инициативы Минцифры – ведомство еще весной 2022 г. начало продвигать идею легализации таких специалистов. В марте 2022 г. оно выступило с идеей по финансовой поддержке этичных хакеров, а в июле 2022 г. от него поступило предложение по их легализации.

Дальше – больше. В январе 2023 г. стало известно о планах Минцифры по запуску программы Bug Bounty для поиска уязвимостей государственных информационных систем силами «белых» хакеров. Но первые знаки, указывающие на то, что реализовать идею с легализацией этичных хакеров в России будет непросто, появились еще в марте 2023 г. Как сообщал CNews, свое мнение «против» высказали Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК).

В ноябре 2023 г. CNews писал, что Минцифры заплатит до 1 млн руб. «белым» хакерам за взлом «Госуслуг». Ведомство планирует до конца 2023 г. запустить годовую программу тестирования «Госуслуг» и еще девяти информационных сервисов «белыми» хакерами.

Хакеры вне закона

В настоящее время деятельность этичных хакеров как таковая российским законом не регулируется. Однако к ним вполне может быть применена ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»), которая подразумевает до семи лет лишения свободы. CNews писал, что «белые» хакеры не особо хотят работать в России, опасаясь уголовного преследования по этой статье.

В пользу легализации деятельности этичных хакеров высказывался и глава комитета Госдумы по информполитике Александр Хинштейн. В феврале 2023 г. он утверждал, что такие специалисты должны быть освобождены от ответственности, и добавил, что есть планы по проработке этого вопроса.

Однако промежуточный итог неутешителен – по прошествии более полутора лет с момента первых инициатив Минцифры, касающихся «белых» хакеров, законопроект по легализации таких специалистов все еще не внесен на рассмотрение в Госдуму. Сам документ, по информации РБК, содержит целый перечень послаблений: например, его авторы предлагают предоставить этичным хакерам «возможность изучать и тестировать программное обеспечение для выявления уязвимостей и их исправления, но обязать сообщать о найденных «дырах» правообладателю софта; обеспечить возможность «обладателю информации и оператору информационных систем привлекать сторонних специалистов для выявления уязвимостей; дать Правительству России «устанавливать требования к выявлению уязвимостей» (сейчас их устанавливает непосредственный заказчик).

Для реализации предложенного авторы законопроекта предлагают скорректировать не только УК РФ. Изменения также необходимо внести в ГК РФ и в закон «Об информации, информационных технологиях и защите информации».

Что не нравится силовикам

Как пишет РБК, силовые структуры, протестующие против идеи легализации этичных хакеров, приводят одинаковые доводы. Так, руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий управления по расследованию отдельных видов преступлений Главного следственного управления Следственного комитета Константин Комарды утверждает, что в России действительно есть законодательная возможность привлечь «белых» хакеров к ответственности, например, за тестирование той или иной информсистемы по заказу ее владельца. Но, он подчеркнул, что «на практике этого никто не делает». «Если человек заключает договор, или у него есть заявка на тестирование от правообладателя информсистемы или сети, он привлекается на легальных основаниях и создает программу под конкретный случай, его действия не образуют состав преступления», – добавил он.

Комарды утверждает, что основной фактор для привлечения «белого» хакера к ответственности — это наличие за ним вины. По его словам, хакер должен идти на преступление осознанно, в стремлении причинить вред – только в этом случае будет иметь место состав преступления. «Следственный комитет изучил поправки в Уголовный кодекс и пришел к выводу, что они будут излишними», – подытожил он.

Абсолютно аналогичной точки зрения придерживается и начальник отдела информационной безопасности главного управления правовой статистики и информационных технологий Генпрокуратуры России Алексей Алборов. Как пишет РБК, он присутствовал на обсуждении поправок, легализующих деятельность этичных хакеров. Он тоже говорит, что вина за таким специалистом будет лишь в случае, если он совершает взлом с целью причинения ущерба. «Если речь идет о деятельности в интересах заказчика, это не является несанкционированным доступом — нарушения воли правообладателя тут нет. К уголовной ответственности такая деятельность не относится, нет факта причинения ущерба и нарушения общественных отношений», – отметил Алборов.

Мнение Алборова и Комарды разделяют и в МВД, пишет издание. Неназванный участник совещания обратил внимание на то, что если поправки будут приняты, то обычные хакеры будут выдавать себя за этичных, предъявлять договор на тестирование защищенности инфосистем, чтобы заранее обелить себя, после чего ломать их в своих целях.

Стоит отметить, что сотрудничество с хакерами далеко не всегда идет на пользу корпорациям. В конце ноября 2021 г. CNews освещал ситуацию, в которой оказалась Microsoft. Обидевшийся на нее «белый» хакер опубликовал секрет превращения любого пользователя Windows в администратора. По его мнению, корпорация существенно недоплатила ему в рамках программы поиска ошибок в продуктах экосистемы Windows. С ним солидарны многие его «коллеги».

Мнение противоположной стороны

«Белые» хакеры приносят ощутимую пользу государству, несмотря на то, что над ними висит угроза скоротать год-другой в местах не столь отдаленных или получить условный срок и отметку о судимости. Например, в мае 2023 г. Минцифры отчиталось, что силами таких специалистов в ходе официальной программы Bug Bounty на портале госуслуг было выявлено свыше 30 уязвимостей различного уровня опасности.

Но «белые» хакеры могли бы работать намного эффективнее, если бы их деятельность в России получила статус легальной. Как сообщил изданию директор по продуктовому развитию «Солар секьюрити» Владимир Бенгин (он тоже присутствовал на обсуждении поправок), свыше половины всех ныне действующих российских этичных хакеров избегают выхода в легальное поле. Причина банальна – им ни к чему привлечение к уголовной ответственности. «Вероятность такой практики жутко пугает представителей отрасли, они же не юристы. Если поправки будут внесены, и «белые» хакеры увидят эту строчку в Уголовном кодексе, это изменит ситуацию», – сказал Бенгин.

Сами «белые» хакеры очень хотя легализоваться и говорят об этом открыто. 12 ноября 2023 г. в Центре стратегических разработок (ЦСР) состоялось заседание, в котором участвовал этичный хакер Марсель Дандамаев, пишет РБК. Дандамаев говорил, что в нынешних реалиях и частные организации, и различные госструктуры весьма неохотно контактируют с «белыми» хакерами, вследствие чего последним становится трудно сообщать им информацию о найденных «дырах» в их системах.

По словам Дандамаева, среди компаний, вышедших на контакт с этичными хакерами, преобладают те, которые не реагируют на их информацию об уязвимостях и не устраняют их, пока обычные хакеры не используют их в своих целях.

 

[am0n]

INC. сказал(а):
Стоит отметить, что сотрудничество с хакерами далеко не всегда идет на пользу корпорациям. В конце ноября 2021 г. CNews освещал ситуацию, в которой оказалась Microsoft. Обидевшийся на нее «белый» хакер опубликовал секрет превращения любого пользователя Windows в администратора. По его мнению, корпорация существенно недоплатила ему в рамках программы поиска ошибок в продуктах экосистемы Windows. С ним солидарны многие его «коллеги»

Во как. Значит пользой для корпорации является возможность безнаказанно кинуть человека

 

[INC.]

Во как. Значит пользой для корпорации является возможность безнаказанно кинуть человека

https://xss.is/threads/59186/

 

[lollyfun]

Я нашёл дыру на госуслугах -----> отправил им репорт -----> ко мне с утра постучались и попросили договор с госуслугами на поиск уязвимостей ------> количество зеков увеличилось на одного.
Примерно так, в моих глазах, выглядит отказ силовиков на одобрение легализации вайтхетов.

 

[billimoar]

lollyfun сказал(а):
Я нашёл дыру на госуслугах -----> отправил им репорт -----> ко мне с утра постучались и попросили договор с госуслугами на поиск уязвимостей ------> количество зеков увеличилось на одного.
Примерно так, в моих глазах, выглядит отказ силовиков на одобрение легализации вайтхетов.

Пожалуйста, обратите внимание, что пользователь заблокирован

Ну если ты действительно будешь так работать то скорее всего так и будет работать в любой стране. Там скорее всего проблема будет не в том что ты нашел уязвимость, а то что по этой уязвимости уже кто-то работал и если докажут что ты, ты просто покажешь договор. Я вижу это так. В фсб тоже ведь не все дураки сидят

 

[lollyfun]

billimoar сказал(а):
Ну если ты действительно будешь так работать то скорее всего так и будет работать в любой стране. Там скорее всего проблема будет не в том что ты нашел уязвимость, а то что по этой уязвимости уже кто-то работал и если докажут что ты, ты просто покажешь договор. Я вижу это так. В фсб тоже ведь не все дураки сидят

Я не говорил о том, что я этой уязвимостью воспользовался. Допустим у меня цель/принцип/голос патриотизма - защитить гос. порталы/вк/тиндер от уязвимостей и я целенаправленно их ищу для того что-бы сообщить владельцам/разработчикам. Нашёл - сообщил - сел. В текущей ситуации это именно так и выглядит. Ни кто не гарантирует что на той стороне провода не гондоны сидят, а мой факт проникновения в систему трактовать как то иначе не получится. А вот владельцы ресурса/сервера могут этот факт трактовать так, как им удобно. Кто-то может сказать спасибо и кэша отсыпать, а кто-то пойдёт в ближайший опроник и заяву напишет, просто по факту моего письм на почту что вот бла-бла-бла. И, по моему мнению, силовики искуственно тормозят этот законопроЭкт что бы оставить себе грядку для вербовки.

 

[kehor]

lollyfun сказал(а):
Я не говорил о том, что я этой уязвимостью воспользовался. Допустим у меня цель/принцип/голос патриотизма - защитить гос. порталы/вк/тиндер от уязвимостей и я целенаправленно их ищу для того что-бы сообщить владельцам/разработчикам. Нашёл - сообщил - сел. В текущей ситуации это именно так и выглядит. Ни кто не гарантирует что на той стороне провода не гондоны сидят, а мой факт проникновения в систему трактовать как то иначе не получится. А вот владельцы ресурса/сервера могут этот факт трактовать так, как им удобно. Кто-то может сказать спасибо и кэша отсыпать, а кто-то пойдёт в ближайший опроник и заяву напишет, просто по факту моего письм на почту что вот бла-бла-бла. И, по моему мнению, силовики искуственно тормозят этот законопроЭкт что бы оставить себе грядку для вербовки.

Открытое баг-баунти = публичный договор-оферта. Если нет открытого баг-баунти, то чисто юридически всё что ты описал возможно в любой стране (и бывало кстати неоднократно). Да, фейсы тормозят законопроект из-за своих целей.

 

[RandomName]

Пожалуйста, обратите внимание, что пользователь заблокирован
Следующая новость как обычно "Специалистов не хватает, родину никто от западных хакеров не защищает ироды"

 

[am0n]

INC. сказал(а):

https://xss.is/threads/59186/

Все правильно. Жадность фраера сгубила.

 

[billimoar]

lollyfun сказал(а):
Я не говорил о том, что я этой уязвимостью воспользовался. Допустим у меня цель/принцип/голос патриотизма - защитить гос. порталы/вк/тиндер от уязвимостей и я целенаправленно их ищу для того что-бы сообщить владельцам/разработчикам. Нашёл - сообщил - сел. В текущей ситуации это именно так и выглядит. Ни кто не гарантирует что на той стороне провода не гондоны сидят, а мой факт проникновения в систему трактовать как то иначе не получится. А вот владельцы ресурса/сервера могут этот факт трактовать так, как им удобно. Кто-то может сказать спасибо и кэша отсыпать, а кто-то пойдёт в ближайший опроник и заяву напишет, просто по факту моего письм на почту что вот бла-бла-бла. И, по моему мнению, силовики искуственно тормозят этот законопроЭкт что бы оставить себе грядку для вербовки.

Пожалуйста, обратите внимание, что пользователь заблокирован

а когда не вербовали то)

 

[INC.]

В Думу внесли поправки в ГК РФ, направленные на легализацию "белых" хакеров.

Согласно законопроекту, при выявлении недостатков безопасного использования программы для ЭВМ необходимо сообщить о них правообладателю в течение пяти рабочих дней.

МОСКВА, 12 декабря. /ТАСС/ Группа депутатов Госдумы во главе с членом комитета палаты по информполитике Антоном Немкиным внесли на рассмотрение Думы проект, направленный на легализацию в РФ деятельности так называемых белых хакеров. Текст документа размещен в думской электронной базе.

Поправки вносятся в статью Гражданского кодекса (ГК) РФ, которая регламентирует право пользователя программы для электронных вычислительных машин (ЭВМ) и базы данных. Так, предлагается установить, что пользователь, правомерно владеющий экземпляром такой программы, может без разрешения автора и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать ее функционирование в целях выявления недостатков для их безопасного использования. Эти действия также разрешается поручить другим лицам. При этом уточняется, что изучение, исследование или испытание программы могут проводиться только в отношении экземпляров программ для ЭВМ или базы данных, функционирующих на технических средствах пользователя. Кроме того, указывается, что выявленная пользователем информация о недостатках не может быть передана третьим лицам, за исключением правообладателя. Законопроект также уточняет, что при выявлении недостатков безопасного использования программы для ЭВМ необходимо сообщить о них правообладателю в течение пяти рабочих дней.

По действующим нормам, пользователь, правомерно владеющий экземпляром программы для ЭВМ, без разрешения автора и без выплаты вознаграждения может лишь осуществлять действия, необходимые для функционирования этой программы, а также изготовлять копию программы при условии, что она предназначена для архивных целей.

Как отмечают авторы инициативы, в настоящее время для проведения тестирования защищенности систем российских компаний "белым" хакерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. "Выполнение тестирования защищенности без таких разрешений может повлечь нарушение авторских прав соответствующих правообладателей и, соответственно, необходимость возмещения убытков или выплату компенсации в размере от 10 тыс. рублей до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы", - указывается в пояснительной записке к законопроекту.

Новые нормы позволят "проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов", отмечают авторы инициативы. Как ранее рассказывал ТАСС Немкин, законопроект разработан в пакете с двумя другими инициативами, направленными на легализацию в РФ деятельности так называемых белых хакеров. По его словам, поправки также будут предложены к Уголовному кодексу РФ и к закону "Об информации, информационных технологиях и о защите информации".

• Source: https://sozd.duma.gov.ru/bill/509708-8

 

[Dread Pirate Roberts]

INC. сказал(а):
указывается, что выявленная пользователем информация о недостатках не может быть передана третьим лицам, за исключением правообладателя

опять фигня. нельзя сообщать о дырах в софте платформам bug bounty и CVE numbering authority, только "правообладателю", а правообладатель на репорт скажет "мы проверили и у нас нет никакой дыры, но если нас через эту дыру взломают - мы напишем на вас заяву, всего доброго, хорошего настроения, здоровья!"

 

[gliderexpert]

INC. сказал(а):
Новые нормы позволят "проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов",

Это больше похоже не на легализацию white-hat'ов , а на юридическое обоснование возможности реверс-инжиниринга программных продуктов в целях их дальнейшего копирования или создания легальных (с точки зрения законодательства этой страны) кряков для обхода первоначальной лицензии.

 

[ktpm23]

lollyfun сказал(а):
Я не говорил о том, что я этой уязвимостью воспользовался. Допустим у меня цель/принцип/голос патриотизма - защитить гос. порталы/вк/тиндер от уязвимостей и я целенаправленно их ищу для того что-бы сообщить владельцам/разработчикам. Нашёл - сообщил - сел. В текущей ситуации это именно так и выглядит. Ни кто не гарантирует что на той стороне провода не гондоны сидят, а мой факт проникновения в систему трактовать как то иначе не получится. А вот владельцы ресурса/сервера могут этот факт трактовать так, как им удобно. Кто-то может сказать спасибо и кэша отсыпать, а кто-то пойдёт в ближайший опроник и заяву напишет, просто по факту моего письм на почту что вот бла-бла-бла. И, по моему мнению, силовики искуственно тормозят этот законопроЭкт что бы оставить себе грядку для вербовки.

ФСБ, скорее всего, не будет сильно учитывать мотивы человека, который сообщил о найденной уязвимости. Для них главное, что был факт несанкционированного проникновения в систему.

ФСБ, как и любое другое силовое ведомство, заинтересовано в том, чтобы контролировать ситуацию и не допустить, чтобы кто-то мог использовать уязвимости в системах для нанесения ущерба. Поэтому они стремятся контролировать деятельность исследователей безопасности, которые занимаются поиском и устранением уязвимостей.

В этом контексте, ФСБ может рассматривать такие исследования как потенциальную угрозу безопасности. Ведь исследователь безопасности может найти уязвимость, которую может использовать не только для защиты системы, но и для её взлома. Поэтому ФСБ хочет иметь возможность контролировать такие исследования, чтобы не допустить, чтобы уязвимости попали в руки злоумышленников.

Кроме того, ФСБ может рассматривать такие исследования как возможность для вербовки новых сотрудников. Ведь исследователь безопасности, который обладает навыками поиска и устранения уязвимостей, является ценным активом для любой спецслужбы.

 

[ktpm23]

RandomName сказал(а):
Следующая новость как обычно "Специалистов не хватает, родину никто от западных хакеров не защищает ироды"

А на деле получается спецы есть, но они просто мало заинтересованы сотрудничать с властями и быть у них под колпаком или вообще что-то пойдет не так сесть на бутылку.

 

[sasha-meteor]

ktpm23 сказал(а):
Кроме того, ФСБ может рассматривать такие исследования как возможность для вербовки новых сотрудников. Ведь исследователь безопасности, который обладает навыками поиска и устранения уязвимостей, является ценным активом для любой спецслужбы.

Прогнать сайт акунетиксом или бурпом или иже с ними не равно обладать навыками поиска и устранения уязвимостей

 

[ktpm23]

gliderexpert сказал(а):
Это больше похоже не на легализацию white-hat'ов , а на юридическое обоснование возможности реверс-инжиниринга программных продуктов в целях их дальнейшего копирования или создания легальных (с точки зрения законодательства этой страны) кряков для обхода первоначальной лицензии.

Вот да, не удивлюсь что некоторые задумались о создании росс аналогов некоторых популярных приложений в рамках политики импортозамещения.

 

[ktpm23]

sasha-meteor сказал(а):
Прогнать сайт акунетиксом или бурпом или иже с ними не равно обладать навыками поиска и устранения уязвимостей

Ну слушай в этом всем тоже надо шарить и понимать и кто что работает.

 

[gliderexpert]

ktpm23 сказал(а):
Вот да, не удивлюсь что некоторые задумались о создании росс аналогов некоторых популярных приложений в рамках политики импортозамещения.

ktpm23 сказал(а):
Ведь исследователь безопасности, который обладает навыками поиска и устранения уязвимостей, является ценным активом для любой спецслужбы.

Скорее тут речь про легальный взлом приложений для продолжения использования зарубежных продуктов. И способы финансирования таких "исследований".
Знаю одну лабу где масспектрометр "встал" - прилетел апдейт софта в котором раша заблочена. Они может и рады были бы оплатить разработку кряка для этого софта, но официально это сделать сейчас невозможно.


Ценным активом является прежде всего _управляемый_ человек, которому можно навязать свое мнение (или мнение руководства), некие "моральные" принципы. Которого можно заставить делать что-то, и он не будет сильно задумываться и задавать лишних вопросов - а надо ли это непосредственно ему, специалисту. В некоторой степени - человек с отсутствием критического мышления.