Виктор Чащин, операционный директор "МУЛЬТИФАКТОР и сертифицированный White Hat Hacker, прокомментировал запрос редакции Cyber Media об этичном хакинге и поделился типичной ситуацией, с которой сталкивается каждый хакер в России.
Хакинг – это своего рода флагман медийности информационной безопасности. О хакерах снимают культовые фильмы. О том, как стать хакером, стремятся узнать многие подростки и начинающие ИТ-специалисты.
Особое внимание уделяется этичному хакингу, поскольку он не только престижен, но и легален. Под понятие «этичный хакер» подпадают множество специалистов: пентестеры, багхантеры и другие. Однако, их деятельность очень зависима от законодательства той страны, в юрисдикции которой они работают.
В чем измеряется этичность хакера
Приставка «этичный» – это устоявшийся оборот. Мерилом этичности хакера служат его личные нравственные ориентиры или общественное мнение. В контексте профессиональной деятельности корректнее будет говорить о легальности или нелегальности хакинга.
Легальный хакинг – это тот, который соответствует всем правовым нормам страны, в юрисдикции которой действует хакер. Поэтому первое, что должен знать хакер – это профильные законы, регулирующие его деятельность.
Но даже знание и соблюдение всех законов не гарантирует того, что действия этичного хакера будут истолкованы неверно. Многое зависит от того, как компания, в инфраструктуре которой была найдена уязвимость, отнесется к этой информации.
Виктор Чащин
Операционный директор компании "МУЛЬТИФАКТОР", сертифицированный White Hat Hacker
Если говорить о России, то хакер в принципе не может защитить свою деятельность от каких-либо последующих претензий нанимателя. Самая типичная история: в процессе исследования безопасности хакер наткнулся на уязвимость, которая могла привести к утечке конфиденциальной информации. И наниматель может обратиться в полицию с заявлением, что, собственно, хакер к ней доступ и получил. Поэтому все подобные работы и договоры в первую очередь строятся на доверии друг к другу.
В условиях априорного несовершенства любой законодательной системы, особенно в таких динамично развивающихся сферах, как ИТ и ИБ, единственным надежным инструментом защиты становится двустороннее соглашение между компанией и этичным хакером.
Такую модель используют пентест-специалисты. В договоре четко прописываются способы тестирования, его рамки и другие параметры. Такой подход позволяет нивелировать возможные риски в ходе проведения тестирования на проникновение.