Киев, бизнес-центр Botanic Towers ул. Саксаганского, 119, офис 29 (8 этаж)

Киев, бизнес-центр Botanic Towers
ул. Саксаганского, 119, офис 29 (8 этаж)

Этичное “белое” хакерство

Что это, зачем оно бизнесу и чего опасаться

Заказать консультацию

Пока на всемирном форуме в Давосе рассуждают о роли ИИ (искусственного интеллекта) в кибербезопасности, внедряют новые технологии и ищут подходы к борьбе с хакерством, украинскому бизнесу приходится пока объяснять, что же такое кибербезопасность и зачем она ему. В этой статье мы расскажем о том, как проверяют кибербезопасность мировые компании и организации, зачем это нужно и какие подводные камни существуют для обеих сторон — бизнеса и самих “белых” хакеров.

Что такое «белое хакерство»

Выражение «белое (или этичное) хакерство» пошло от сленгового «белая шляпа» (White hat). Так называют IT-специалиста, который занимается проверкой безопасности компьютерной системы путем сознательно организованной и разрешенной атаки на нее.

Это, без сомнения, хакерство, но, в отличие от общеизвестного черного, оно направлено во благо: систему безопасности взламывают специально для того, чтобы найти и устранить ее слабые места.

Актуальность применения «белого хакерства»

Одним из первых известных применений этой теории на практике был этичный взлом OC Multics, инициированный ВВС США. Отчет об этой проверке безопасности был публичным. И заявление о преимуществах тестируемой системы по сравнению со многими другими косвенно доказало, что белое хакерство используется уже давно, но без огласки.

Маловероятно, что вопросами кибербезопасности в Пентагоне занимаются специалисты низкой квалификации, и, тем не менее, этический взлом там используется постоянно.

Сотрудничество с хакерами позволяет использовать принцип «мыслить, как преступник» и находить бреши в броне безопасности так эффективно, как это не могут сделать разработчики. Так, в 2017 году была запущена программа «Hack the Air force» (Взломай ВВС) для всех желающих профессионалов, и не только из США. Оборонное ведомство заявило, что попытки взлома его ключевых веб-сайтов наблюдаются каждый день, поэтому привлечение «дружественных» хакеров для этичного взлома — работа на опережение и поиск молодых талантов для улучшения безопасности его систем.

Так рассуждал, очевидно, и Google, который за этический взлом своей новой версии в этом году заплатил студенту из Тюмени 60 тыс. долл. США.

А вот знаменитый Фейсбук, имеющий более 2 млрд. пользователей, поплатился за самонадеянность: 13 марта этого года произошел масштабный сбой в работе соцсетей Facebook, Instagram и мессенджеров Facebook и WhatsApp. Страшный репутационный удар, самый значительный за всю историю его существования.

Украинские госструктуры и частный бизнес пережили в 2017 году масштабные хакерские атаки. В результате были уничтожены миллионы гигабайтов данных более 2000 предприятий и частных лиц, что породило хаос и принесло колоссальные убытки. С тех пор привлечение «белых хакеров» для проверки безопасности своих сетей в Украине стало более частым.

Что же они предлагают?

Инструменты «этичного взлома»

Все инструменты такого взлома были собраны в одной программе SATAN — аббревиатура английского названия «Инструмент администратора безопасности для анализа сетей».

С развитием рынка IT-услуг в целом и ростом хакерских атак в частности, «белые хакеры» предлагают все больше продуктов для проверки кибербезопасности.

Появились многочисленные пен-тесты (от penetration tests) для проверки возможностей проникновения в систему. Они уже знакомы и украинскому бизнесу.

Все платные программы для определения уязвимости IT-систем получили общее название Bug Bounty. Известно, что сейчас в Украине внедряют такие программы ПриватБанк, «Новая почта» и биржа криптовалют KUNA Exchange. Кроме того, для государственных учреждений (пока — только для сайтов без информации с ограниченным доступом) применяют Bug Bounty в тестовом режиме.

Но существует один момент, важный для обеих сторон такого сотрудничества. Это — безопасность данных.

Нюансы использования «белого хакерства» в бизнесе

Сначала поговорим о сохранности святая святых бизнеса, его информации, при доступе к ней постороннего специалиста:

  1. Условия такого сотрудничества обязательно нужно оформить письменно. Неважно, как это будет называться — разрешение, договор на оказание услуг по кибербезопасности или программа Bug Bounty, но чем подробнее и грамотнее будет составлен документ, тем спокойнее можно быть за сохранность и неразглашение данных. Даже грамотному в юридических вопросах хозяйственнику стоит привлечь к его составлению юриста.
  2. Стоит промониторить рынок на предмет определения справедливой цены услуг. Переплата — это только деньги. Занижение же стоимости работ может спровоцировать исполнителя «добрать» ее информацией клиента.

Актуальность применения «белого хакерства»

  1. Самым неприятным является наличие в Криминальном Кодексе (КК) Украины статей (361, 361-1, 361-2), которые предполагают наказание вплоть до тюремного заключения. Конечно, это касается «черных» хакеров, но разделение на черных и белых в КК не прописано. Просто хакерством является (и наказывается!) любое из перечисленных действий:
    • взлом и получение доступа к сайту или системе;
    • написание программы, с помощью которой это можно осуществить;
    • распространение такой программы;
    • публичная выкладка в любом виде информации с ограниченным доступом; в первую очередь, это касается документов госорганов.

    Эти статьи успешно применяются на практике: за последние 2 года по ним были осуждены 67 человек. Вот почему «белым хакерам» не стоит проявлять инициативу и тестировать любые (особенно — государственные!) системы и сайты до подписания грамотного договора или программы. Иначе можно вместо «спасибо» за выявление проблемы получить заявление в полицию. Именно так отреагировала на предоставленные данные госадминистрация Херсона. При оформлении документа советуем также проверить полномочия клиента, подписывающего его, и составить максимально подробное техническое задание, регулирующее права и обязанности исполнителя.

  2. Поскольку присвоение информации может стать поводом для уголовного наказания, стоит остерегаться любых неоговоренных действий с ней. Это — как чужие деньги, на которые лучше даже не смотреть.
  3. Советуем внимательно подбирать программы для такой работы. Ведь создание вредоносной программы — тоже статья (361-1)! Вот ее критерии, исходя из судебной практики:
    • работает автоматически;
    • создана для скрытого доступа без разрешения пользователя;
    • производит несанкционированные действия с данными.

    Стоит учесть, что чужие программные продукты могут быть либо сами незаконными, либо скрытно выполнять незаконные действия с информацией. Поэтому «белому хакеру» лучше писать свои утилиты, не забывая ограничивать к ним доступ. Использование бизнесом продуктов и услуг «белых хакеров» напрямую зависит от уровня компьютерной грамотности и осознания масштабов возможных потерь. «Белое хакерство» — дело нужное и выгодное для всех заинтересованных сторон. Но, чтобы оно не было сопряжено с рисками, заниматься им нужно грамотно, советуясь по любому сомнительному поводу с профессионалом-юристом.

Есть вопрос?

Позвоните или оставьте заявку. Мы с Вами свяжемся в ближайшее время

Заказать консультацию