Czy etyczni hakerzy potrzebują ochrony prawnej?

Autor: Roger Morrison
Data Utworzenia: 26 Wrzesień 2021
Data Aktualizacji: 21 Czerwiec 2024
Anonim
Q&A: Cyberwojna, Conti, Anonymous i inne
Wideo: Q&A: Cyberwojna, Conti, Anonymous i inne

Zawartość


Źródło: Devonyu / iStockphoto

Na wynos:

Etyczni hakerzy mogą pomóc w zapobieganiu wykorzystaniu przez złośliwych hakerów, dlaczego więc ochrona prawna jest dla nich tak ważna?

Etyczni hakerzy wnoszą wartość do organizacji, znajdując luki bezpieczeństwa, zanim znajdą je osoby o złych zamiarach. Wydaje się naturalne, że będą postrzegani z szacunkiem. Jednak rzeczy nie są tak proste, jak się wydają. Etyczni hakerzy mogą być przedmiotem działań prawnych, nawet jeśli hakują systemy w dobrych intencjach.

Etyczne hakowanie jest uważane za dopuszczalne, jeśli jest poproszone przez organizacje. Ale nawet wtedy hackowanie nie jest odporne na działania prawne. Najbardziej niepewna jest sytuacja hakerów, którzy włamują się do systemów niezamówionych, ale z dobrymi intencjami. Przepisy regulujące etyczne hakowanie są obecnie nieodpowiednie i niejasne. Kwestia ochrony prawnej etycznych hakerów wymaga poważnego skoncentrowania. Należy określić zakres prac i inne przepisy prawne.


Co to jest etyczne hakowanie?

Tak zwane etyczne hakowanie to praktyka włamywania się do systemów w celu znalezienia problemów związanych z bezpieczeństwem, ale bez złośliwych zamiarów. Hakerzy etyczni zwykle informują właścicieli lub interesariuszy systemu o swoich ustaleniach. Etyczni hakerzy mogą wykonywać swoje zadania na zamówienie lub na nie. Organizacje formalnie proszą hakerów o przetestowanie swoich systemów, co jest znane jako testowanie penetracyjne. Hakerzy testują systemy i zazwyczaj dostarczają raport na końcu zadania. Z drugiej strony niezamówieni hakerzy testują systemy z różnych powodów. Uproszczone hakowanie jest potencjalnie mniej niebezpieczne dla hakerów niż niepożądane, głównie dlatego, że niezamówieni hakerzy nie mają formalnej zgody. (Dowiedz się więcej o pozytywnej stronie hakowania w 5 powodów, dla których powinieneś być wdzięczny za hakerów).

Etyczne hakowanie jest korzystną i zapobiegawczą praktyką i często jest nagabywane. Jednak etyczne hakowanie może nadal powodować wiele różnych problemów. Na przykład tacy hakerzy mogą nadal pozwalać złośliwym zamiarom przejąć kontrolę na pewnym etapie, a brak umów prawnych może prowadzić do bałaganu.


Etyczne hakowanie i prawo - studium przypadku

Z pozoru etyczne hakowanie może wydawać się praktyką z dobrymi intencjami, która powinna zachęcać tylko do pochwał i wdzięczności - nie zawsze tak było. W 2013 r. Członek parlamentu (MP) w Holandii stanął w obliczu kroków prawnych za ujawnienie luki w zabezpieczeniach na stronie internetowej centrum medycznego. Poseł zalogował się na stronie internetowej centrum medycznego z publicznie dostępnymi danymi uwierzytelniającymi i zaryzykował poważny problem bezpieczeństwa. Kiedy poseł podał swoje odkrycia do wiadomości publicznej, został oskarżony przez centrum medyczne o zarzuty prawne. Incydent otworzył wiele różnych pytań na temat etycznego hakowania. MP nie był profesjonalnym hakerem - nie był nawet inteligentny. Uzyskał dostęp do strony internetowej za pomocą danych uwierzytelniających dostępnych w Internecie i przypadkowo uzyskał dostęp do poufnych danych. Aby powiadomić centrum medyczne o swoich odkryciach, musiał przejść proces biurokratyczny. Oceniając pilność sytuacji, przekazał wiadomości za pośrednictwem mediów. Może wydawać się zarówno zabawne, jak i niewdzięczne, że zamiast uznać jego wkład i podziękować mu za wskazanie uchybienia w zakresie bezpieczeństwa, ośrodek medyczny postanowił go oskarżyć. Oczywiście istnieje wiele problemów związanych z etycznym hakowaniem, które wymagają rozwiązania. (Aby uzyskać więcej informacji na temat hakowania, zobacz Miłość hakerów).

Czy etyczne hakowanie jest etyczne?

Z pozoru etyczne hakowanie to etyczne działanie, które przynosi korzyści organizacjom. Jest wielu hakerów, którzy, domagając się lub niezamówieni, znaleźli luki w zabezpieczeniach systemów, zanim znajdzie je ktoś inny o złych zamiarach. Etyczne hakowanie jest praktykowane w większości organizacji w różnym stopniu wewnętrznie lub poprzez zatrudnianie wyspecjalizowanych hakerów. Jednak bezpieczeństwo oprogramowania jest obszernym i złożonym obszarem, a testy wewnętrzne mogą nie zawsze ujawnić wszystkie wady, szczególnie w przypadku dużych i złożonych aplikacji obsługujących wrażliwe dane, takie jak dane finansowe lub obronne. W takich przypadkach potrzebujesz specjalistycznych hakerów, aby znaleźć luki w zabezpieczeniach. Powiedziawszy to, to haker określa, jak etyczne będzie hakowanie. Aby zrozumieć ten punkt, rozważ następujące kwestie:

  • Co się stanie, jeśli etyczny haker wykona nieetyczne działania podczas pracy nad hakerem? Na przykład, co jeśli poseł w Holandii sprzedał poufne dane zamiast wskazać wadę bezpieczeństwa?
  • Zaproszony haker może przekroczyć zakres pracy i przedsięwzięcia w sekcjach oprogramowania niedozwolonych zgodnie z umową.

Powyższe scenariusze nie są poza zasięgiem możliwości i dostarczają nam silnych powodów do wdrożenia silnych ram prawnych regulujących etyczne hakowanie.

Czy etyczne hakowanie wymaga ochrony prawnej?

Nie ma wątpliwości, że etyczne hakowanie jest korzystne dla organizacji. Zamiast zapewniać ochronę prawną etycznym hakerom, należy uchwalić ukierunkowane przepisy określające zakres pracy, role i obowiązki obu stron. Przepisy powinny uwzględniać następujące kwestie:

Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia

Nie możesz poprawić swoich umiejętności programistycznych, gdy nikt nie dba o jakość oprogramowania.

  • Definicja etycznego hakowania
  • Czy etyczne hakowanie powinno odbywać się tylko wtedy, gdy jest to formalnie wymagane? Mimo to będzie wiele okazji do niezamówionego hakowania. Jak będzie postrzegane niezamówione hakowanie?
  • Tylko formalne i szczegółowe umowy między hakerem a organizacją będą traktowane jako wymuszone hakowanie. Umowa powinna wywodzić treść z szerszych ram prawnych.
  • Czas jest kluczowym czynnikiem w usuwaniu usterki bezpieczeństwa. Po wykryciu usterki bezpieczeństwa może być konieczne natychmiastowe usunięcie, aby zapobiec nieautoryzowanym naruszeniom. Czy każda organizacja ułatwi szybką akceptację opisu problemu i niezbędne działania? Procedury biurokratyczne mogą opóźnić działanie i pozostawić otwartą przestrzeń dla nieautoryzowanych hakerów. Czy niezamówieni hakerzy zostaną ukarani, jeśli obejdą biurokratyczne procedury i użyją innych kanałów informacyjnych, takich jak MP w Holandii?
  • Umowa prawna między hakerem a organizacją powinna wyraźnie określać zakres etycznych zadań hakerów.
  • Definicja rekompensaty i nagród zarówno dla zleconych, jak i niezamówionych hakerów
  • Jak rozwiązać ten problem, jeśli niezamówiony haker niewłaściwie wykorzysta lukę w zabezpieczeniach?

Wniosek

Etyczne hakowanie ma ogromny pozytywny potencjał, jeśli jest właściwie stosowane. Prawdopodobnie jednym z największych wyzwań, przed którymi stoi, jest interpretacja subiektywna. Dlatego konieczne jest ustanowienie obiektywnych, kompleksowych i kategorycznych ram prawnych. Ramy powinny zachować równowagę między nieograniczonymi uprawnieniami zarówno hakerów, jak i organizacji. Zbyt duża moc może być katastrofalna, ponieważ może siać spustoszenie w systemach lub z pewnością siebie lub intencjami hakerów. Jednocześnie społeczność etycznych hakerów może zastanawiać się nad wdrożeniem narzuconego przez siebie kodeksu postępowania oprócz ram prawnych.