«В целях безопасности»: в России предложили поддержать «белых» хакеров
Минцифры решило поддержать «белых» хакеров. Ведомство предложило крупным российским компаниям обсудить идею вложения средств в проведение анализа систем на наличие в них уязвимостей и в программу Bug Bounty. Кто такие «белые» хакеры, для чего они нужны и почему особенно полезны сегодня — выясняли «Известия».
Поддержка «белых» хакеров
Министерство цифрового развития, связи и массовых коммуникаций России решило поддержать «белых» хакеров. Об этом сообщается на сайте ведомства.
Этичные (или «белые») хакеры специализируются на тестировании безопасности компьютерных систем. Минцифры предложило крупным российским компаниям обсудить идею вложения средств в проведение анализа систем на наличие в них уязвимостей и в программу Bug Bounty (выплата вознаграждения за обнаружение уязвимостей).
В рамках оперштаба по обеспечению информационной безопасности компании смогут протестировать технологию и механику внедрения данных инициатив. Минцифры готово софинансировать пилотные проекты.
«Понимая важность отрасли информационной безопасности, министерство предлагает также распространить меры поддержки на компании в сфере ИБ и добавить их в перечень видов деятельности, на которые будут распространяться льготы. Это позволит сотрудникам ИБ-компаний и самим компаниям в полной мере пользоваться всеми мерами поддержки», — отмечается в сообщении.
При этом в министерстве подчеркнули, что всецело поддерживают переход к реальному тестированию и выявлению уязвимостей.
С чем связана инициатива
По словам ведущего инженера Центра НТИ «Цифровое материаловедение: новые материалы и вещества» МГТУ им. Н.Э. Баумана Григория Соколова, сегодняшнее противостояние между государствами происходит и в сетевом пространстве. Идут постоянные попытки взлома систем с различными целями, в том числе ради нанесения ущерба.
Инициатива Минцифры является своевременной и необходимой для развития локализации разработки средств защиты информации. Она позволит поддерживать не только киберсуверенитет страны, но и деятельность российских ИБ-компаний, которые предлагают услуги по тестированию на проникновение и разрабатывают решения по защите информации, добавляет эксперт в области кибербезопасности компании Oberon Константин Метс.
— Инициатива в первую очередь связана с нехваткой кадров и компетенций. И, конечно же, с осознанием, что против России ведется кибервойна и требуется усилить оборону и закрыть бэкдоры и дыры. Например, Bug Bounty — эффективный инструмент для выявления скрытых уязвимостей и пользуется огромной популярностью у мировых гигантов, — добавляет руководитель перспективных проектов в области информационной безопасности Фонда «Сколково» Оксана Ульянинкова.
По ее словам, после ряда успешных атак на информационные системы российских компаний стало понятно, что необходимо укреплять цифровую «оборону». А для этого нужно понять, где находятся уязвимые места в системе и средствах защиты информации.
— Программы Bug Bounty используются крупными корпорациями, такими как Google, Microsoft, и другими, для поиска уязвимостей в своих продуктах. Также, например, и Агентство национальной безопасности США использует «белые шляпы», — отмечает эксперт «Сколково».
Какие бывают хакеры
Как поясняет Ульянинкова, хакеры бывают: «черные», «серые», «белые», а также хакеры-«подражатели» и хакеры-«террористы». Отличаются они в первую очередь мотивацией.
— «Черные» хакеры взламывают прежде всего ради финансовой выгоды. «Серые» действуют ради удовольствия или признания. Взламывая системы, они не соблюдают конфиденциальность и этику, — рассказывает собеседница «Известий». — «Подражатели» имеют не очень сильные навыки, но могут нанести ущерб, — особенно небольшим, незащищенным компаниям. И, наконец, хакеры-«террористы» обычно мотивированы общественными и политическими взглядами и объединяются в хакерские группировки.
«Белые» хакеры, по словам эксперта, имеют свои правила и кодекс. Они используют знания и навыки для легальных целей, помогая выявлять слабые места в защите компании для создания более киберустойчивых систем.
— «Белые» хакеры — это эксперты в области защиты информационных систем, которые работают над обнаружением уязвимостей и оценкой рисков, чтобы защитить компании от хакерских атак, зачастую «имитируя» действия злоумышленников, но без причинения ущерба, — объясняет Константин Метс. — Решать такие задачи актуально для компаний, активы которых имеют публичный доступ и массово используются. К ним относят социальные сети, масс-маркет, финансовые организации.
Для промышленности будет полезным проведение закрытых тестирований на проникновение с привлечением такой киберкоманды, добавляет он. По мнению эксперта, сотрудничество будет только расти, потому что каждая команда использует свои методы тестирования и достижения результата — и заказчик в итоге получит более широкий взгляд на свою защищенность.
— Опыт использования «белых» хакеров пришел из-за рубежа. Крупные иностранные компании (Google, Apple и другие) поддерживают платформы, где можно заказать их услуги. «Белые» хакеры полезны еще и потому, что они умеют мыслить как злоумышленник, и, соответственно, пользуются теми же методами для поиска уязвимостей в системах, — добавляет Григорий Соколов.
Хакеры в законе
Как говорит в беседе с «Известиями» эксперт по юридическим заключениям Европейской юридической службы Серафима Кайтукова, реализация проекта по поддержке «белых» хакеров позволит выявлять как уже имеющиеся утечки информации, так и возможные бреши в информационной безопасности компаний. Такая работа — анализ системы на наличие уязвимостей — называется пентестом.
— Стоит учесть тот фактор, что компания, осуществляющая пентест, получит максимальный доступ не только к персональным данным, но и к информации, которая может иметь потенциальную коммерческую ценность и составляет коммерческую тайну, — поясняет Кайтукова.
В связи с этим деятельность компаний, осуществляющих пентесты, должна регулироваться, причем главным образом за счет императивных норм законодательства. По мнению эксперта, подобную деятельность в России можно лицензировать по аналогии со сферой разработки и производства средств защиты конфиденциальной информации.
Однако однозначно сказать, будет ли лицензироваться деятельность «белых» хакеров, сегодня невозможно. Исходной информации от официального источника недостаточно: пока заявлено лишь о планах реализации проекта. Как отмечает Кайтукова, на первом этапе технологии и механику проверок систем ИБ на наличие уязвимостей предлагается протестировать крупным компаниям.
— Вероятно, список компаний, которым позволят проводить такой анализ, будет утверждаться в Минцифры. Но непосредственно между компаниями взаимодействие, по всей видимости, будет осуществляться на основании договоров возмездного оказания услуг, — объясняет Серафима Кайтукова.
В связи с этим, считает эксперт, возможно внесение изменений и в Гражданский кодекс РФ. Дело в том, что сейчас подобные правоотношения могут рассматриваться как оказание информационных услуг. Но поскольку проект имеет большое значение на государственном уровне ввиду оттока иностранных компаний с российского ИБ-рынка, вероятно вынесение подобного договора отдельными статьями ГК РФ. Это необходимо для урегулирования особенностей соглашения хотя бы в части гражданской ответственности.
