Етичне “біле” хакерство

Що це, навіщо воно бізнесу і чого від нього чекати

Отримати пораду адвоката
На всесвітньому форумі в Давосі міркують про роль ШІ (штучного інтелекту) в кібербезпеці, впроваджують нові технології і шукають підходи до боротьби з хакерством. В цей же час українському бізнесу доводиться пояснювати, що ж таке кібербезпека і навіщо вона йому.

У цій статті ми розповімо про те, як перевіряють кібербезпеку світові компанії і організації, навіщо це потрібно і які підводні камені існують для обох сторін — бізнесу та самих “білих” хакерів.

Що таке «біле хакерство»

Вираз «біле (або етичне) хакерство» пішло від сленгового «білий капелюх»(Whitehat).Так називають IT-фахівця, який займається перевіркою безпеки комп’ютерної системи шляхом свідомо організованої і дозволеної атаки на неї.

Це, без сумніву, хакерство, але, на відміну від загальновідомого чорного, воно спрямоване на благо: систему безпеки зламують спеціально для того, щоб знайти і усунути її слабкі місця

Актуальність застосування «білого хакерства»
Одним з перших відомих застосувань цієї теорії на практиці був етичний злом OC Multics,ініційований ВВС США. Звіт про цю перевірку безпеки був публічним. І заява про переваги тестованої системи в порівнянні з багатьма іншими побічно довела, що біле хакерство використовується вже давно, але без розголосу.

Малоймовірно, що питаннями кібербезпеки в Пентагоні займаються фахівці низької кваліфікації, і, тим не менш, етичний злом там використовується постійно.

Співпраця з хакерами дозволяє використовувати принцип «мислити, як злочинець» і знаходити проломи в броні безпеки так ефективно, як це не можуть зробити розробники. Так, в 2017 році була запущена програма “Hack the Air force” (Зламай ВВС) для всіх бажаючих професіоналів, і не тільки з США. Оборонне відомство заявило, що спроби злому його ключових веб-сайтів спостерігаються кожен день, тому залучення «дружніх» хакерів для етичного злому — робота на випередження і пошук молодих талантів для поліпшення безпеки його систем.

Так міркував, очевидно, і Google, який за етичний злом своєї нової версії в цьому році заплатив студенту з Тюмені 60 тис. дол. США.

А ось знаменитий Фейсбук, який має понад 2 млрд. користувачів, поплатився за самовпевненість: 13 березня цього року стався масштабний збій в роботі соцмереж Facebook, Instagram і месенджерів Facebook і WhatsApp. Страшний репутаційний удар, найзначніший за всю історію його існування.

Українські держструктури і приватний бізнес пережили в 2017 році масштабні хакерські атаки. В результаті були знищені мільйони гігабайтів даних понад 2000 підприємств і приватних осіб, що породило хаос і принесло колосальні збитки. З тих пір залучення «білих хакерів» для перевірки безпеки своїх мереж в Україні стало частішим.

Що ж вони пропонують?

Інструменти «етичного злому»

Все інструменти такого злому були зібрані в одній програмі SATAN — абревіатура англійської назви «Інструмент адміністратора безпеки для аналізу мереж».

З розвитком ринку IT-послуг в цілому і зростанням хакерських атак зокрема, «білі хакери» пропонують все більше продуктів для перевірки кібербезпеки.

З’явилися численні пен-тести (від penetration tests) для перевірки можливостей проникнення в систему. Вони вже знайомі і українському бізнесу.

Усі платні програми для визначення вразливості IT-систем отримали загальну назву Bug Bounty. Відомо, що зараз в Україні впроваджують такі програми ПриватБанк, «Нова пошта» і біржа криптовалют KUNA Exchange. Крім того, для державних установ (поки — лише для сайтів без інформації з обмеженим доступом) застосовують Bug Bounty в тестовому режимі.

Але існує один момент, важливий для обох сторін такої співпраці. Це — безпека даних.

Нюанси використання «білого хакерства» в бізнесі

Спочатку поговоримо про збереження свята святих бізнесу — його інформації — при доступі до неї стороннього фахівця:

  1. Умови такого співробітництва обов’язково потрібно оформити письмово. Неважливо, як це буде називатися — дозвіл, договір на надання послуг з кібербезпеки або програма Bug Bounty, але чим докладніше буде складено документ, тим спокійніше буде за збереження і нерозголошення даних. Навіть грамотному в юридичних питаннях господарнику варто залучити до його складання юриста.
  2. Варто промоніторити ринок на предмет визначення справедливої ціни послуг. Переплата — це тільки гроші. Заниження ж вартості робіт може спровокувати виконавця «добрати» її інформацією клієнта.
Актуальність застосування «білого хакерства»
  1. Найбільш неприємним є наявність в Кримінальному Кодексі (КК) України статей(361,361-1,361-2), які передбачають покарання аж до тюремного ув’язнення. Звичайно, це стосується «чорних» хакерів, але поділ на чорних і білих в КК не прописано. Просто хакерством є (і карається!) будь-яке з перерахованих дій:
  • злом і отримання доступу до сайту або системи;
  • написання програми, за допомогою якої це можна здійснити;
  • поширення такої програми;
  • публічна викладка в будь-якому вигляді інформації з обмеженим доступом; в першу чергу, це стосується документів держорганів.

Ці статті успішно застосовуються на практиці: за останні 2 роки по ним були засуджені 67 осіб.

Ось чому «білим хакерам» не варто проявляти ініціативу і тестувати будь-які (особливо – державні!) системи і сайти до підписання грамотного договору або програми. Інакше можна замість «спасибі» за виявлення проблеми отримати заяву в поліцію. Саме так відреагувала на надані дані держадміністрація Херсона.

При оформленні документа радимо також перевірити повноваження клієнта, який підписує його, і скласти максимально детальне технічне завдання, яке регулює права і обов’язки виконавця.

  1. Оскільки присвоєння інформації може стати приводом для кримінального покарання, варто остерігатися будь-яких незастережених дій з нею. Це — як чужі гроші, на які краще навіть не дивитися.
  2. Радимо уважно підбирати програми для такої роботи. Адже створення шкідливої програми — теж стаття (361-1)! Ось її критерії, виходячи з судової практики:працює автоматично;
  • створена для прихованого доступу без дозволу користувача;
  • виробляє несанкціоновані дії з даними.

Варто врахувати, що чужі програмні продукти можуть бути або самі незаконними, або приховано виконувати незаконні дії з інформацією. Тому «білому хакеру» краще писати свої утиліти, не забуваючи обмежувати до них доступ.

Використання бізнесом продуктів і послуг «білих хакерів» безпосередньо залежить від рівня комп’ютерної грамотності та усвідомлення масштабів можливих втрат.

«Біле хакерство» — справа потрібна і вигідна для всіх зацікавлених сторін. Але, щоб воно не було пов’язане з ризиками, займатися їм потрібно грамотно, радячись з будь-якого сумнівного приводу з професіоналом-юристом.

Корисна інформація

Булінг

Булінг

Юридичні права дитини, які вона повинна вивчити напам’ять

Є питання?

Напишіть, що трапилося. Ми відповімо на пошту або передзвонимо