Етичното хакване е мощен инструмент за ИТ сигурност

Първата среща от серията CyberSecurity Talks Bulgaria събра над 120 експерти по информационна сигурност (снимка: Мария Малцева / TechNews.bg)

Етичното хакване е една от най-добрите мерки, които отделът за информационна сигурност в дадена организация може да приложи, за да поддържа защитните си механизми в изрядно състояние. Методите са разнообразни, а „белите“ хакери са достатъчно много, дори у нас, и са общност, на която може да се има доверие. Проблем за тях обаче си остава невъзможността за отчитане на фишинг кампании към експлоатираните организации.

Етичното хакване и отговорното докладване на пробиви бе темата, която развълнува всички участници в първата по рода си у нас среща на общността на специалистите по инфосигурност – CyberSecurity Talks Bulgaria, която се състоя снощи в централата на Acronis България. Над 120 души се включиха в мероприятието. Мнозина коментираха двете презентации на лекторите Симеон Кърцелянски и Миглен Евлогиев и зададоха въпроси, което превърна срещата в действително оживена и интензивна дискусия.

Проблеми на етичното докладване

Докладването на „бъгове“ и пробиви е нещо, което мнозина ИТ специалисти са склонни да направят най-добронамерено. Когато разглеждат нечии сайт, използват информационна система на дадена организация или боравят с приложение, техническите експерти често забелязват слабостите, които биха могли да доведат до пробив. Много от тях имат чистосърдечно желание да информират съответната компания за „бъга“, с цел да бъде коригиран. Нужно е обаче да има механизъм, който защитава подобни добронамерени докладчици от евентуално съдебно преследване заради факта, че са се „разровили“ в нечия ИТ система и са я „хакнали“, подчерта Миглен Евлогиев.

Подобна правна регулация у нас не съществува официално. В момента се работи съвместно с правоохранителните органи по дефинирането на подобни норми. Очаква се принос за утвърждаването на добрата практика да има и разбирането, което ИТ общността среща в лицето на министъра на електронното управление у нас.

Стимулиране на отговорното „хакване“

За организациите, които поддържат и развиват разнообразни ИТ системи, привличането на етични хакери е мощен инструмент за проверка на ИТ сигурността, откриване на слабости и уязвимости и тяхното коригиране. Затова отделите по инфосигурност имат интерес да организират процедури по „отговорно докладване“.

Налице са различни възможности за подобен род проверка. Един от тях е поддържането на политика на възнаграждаване на всеки външен етичен хакер, който докладва за сериозен проблем в наличните технологични системи. Друг вариант е периодично да се организират кампании за „тестване за пробиви“.

Двата подхода имат различни предимства. Например, поддържането на постоянна политика на възнаграждаване за етично хакване означава, че на практика тестването на сигурността е непрекъснат процес, неограничен във времето – докато кампаниите обхващат само определени периоди. От друга страна акциите за „тестване за пробиви“ са признат метод от процедурите за оценяване и сертифициране на информационната сигурност в организациите.

При всички случаи възприемането на етичното хакване като част от арсенала от инструменти за повишаване на сигурността е много ценно за големите организации и държавните администрации. То намалява риска от изтичане на данни, което може да има тежки последици. Редуцира се и нуждата от докладване на пробиви – нежелана ситуация за всички видове бизнеси.

За да улесни отговорното докладване, организацията може да помогне на етичните хакери. Това може да стане, като вгради на различни места в своите технологични платформи „бележка“ – текстов файл, известяващ евентуалния етичен хакер как да се свърже с отдела по информационна сигурност и как да докладва за открита нередност.

Етичното докладване като кариерен ход

Освен, че е мощен инструмент за информационна сигурност, етичното хакване е и ценен кариерен ход. Това е отлична възможност за младите, будни и талантливи хора да се представят като специалисти по информационна сигурност на високо ниво и с голям потенциал.

Съществува дори практиката да се дават „рефенренции“ за етичните хакери от организациите, на които те са помогнали. Това са са своеобразни препоръки, които засвидетелстват професионалните умения и високите морални качества на талантливия специалист. При кандидатстване за работа тези препоръки следва да се четат като високи оценки за професионализъм и добродетелност едновременно.

За организациите, които търсят хора за своите отдели по информационна сигурност, подобни референции са ценен знак за стойността на кандидата.

Невъзможност за фишинг докладване

Като проблем за общността на етичните хакери по време на първата среща от линията CyberSecurity Talks Bulgaria се очерта невъзможността за докладване на случаите на фишинг.

Обичайно при фишинга злонамерен играч използва името или марката на известна компания, за да подведе широк кръг онлайн потребители да предоставят ценна информация – банкови или разплащателни данни или пък пароли и кодове. Най-често това става чрез измамни електронни писма. Компанията, чието име или марка бива използвано, може и да не подозира, че хиляди хора получават измамнически писма от нейно име.

Специалистите по информационна сигурност и ентусиастите в областта са склонни да докладват на засегнатите фирми. Това е важно, за да може компанията, с чието име се злоупотребява, да реагира навременно – да оповести проблема, да предупреди клиентите си, да излезе с публично изявление – и в крайна сметка да предпази колкото се може повече хора от риска да бъдат подведени.

В повечето случаи обаче подобно докладване е трудно или невъзможно. Дори когато се получи успешно, фирмите не знаят как да реагират.

Нужно е да се установи процедура, своеобразен „стандарт“ за известяване на компаниите, когато онлайн-измамници използват фирмените брандове за фишинг, единодушни бяха гостите на първата среща на CyberSecurity Talks Bulgaria.