В киберполицию могут взять "этичных" хакеров

Вслед за новой патрульной службой 15 октября в Украине стартовал набор в новосозданный Департамент киберполиции, который окончательно сформируют до 5 ноября. Министр МВД Арсен Аваков уже рассказал об обязанностях киберполицейских, в частности – в информационной безопасности.

Оказывается, до этого в Украине были и есть специалисты из этой сферы – так называемые "этичные" хакеры. Vgorode пообщался с одним из них и узнал, почему "хорошие" взломщики сейчас никому не нужны.

Вадим Чакрян – харьковский айтишник, открыл для себя "этичное" хакерство несколько лет назад. Парень признается, что об этом в местных вузах не рассказывают или вспоминают вскользь, поэтому учиться пришлось самостоятельно. "Открыл это для себя года четыре назад, когда начал искать какие-то практические вещи в Интернете, как этим заниматься. В итоге занялся самообучением. Таких качественных знаний в вузе невозможно получить. Все равно нужно обучаться самому", – рассказывает Вадим.

^{Вадим Чакрян – харьковский айтишник, открыл для себя "этичное" хакерство несколько лет назад.
Фото из личного архива Вадима Чакряна}

Плохой-хороший хакер

Сейчас "благородные" взломщики тестируют безопасность различных фирм, веб-сайтов и приложений. "Этичный" хакер отличается от всем известного вредителя тем, что свою работу выполняет только с разрешения заказчика. "Этичный" хакер – это в первую очередь тот человек, который тестирует ресурс исключительно после письменного разрешения на это, – продолжает специалист. – Человек, который хочет проверить уязвимость своего предприятия, обращается в компанию, которая занимается тестированием на проникновение. Они заключают контракт, где оговаривают все тонкости работы: какие тесты можно проводить, что можно сканировать, что нельзя, какие сроки сканирования и другие вопросы. Потом этот документ подписывается, и только после этого пентестер может тестировать продукт. В этом как раз проявляется этика. Если человек тестирует что-то без надлежащего разрешения, то это уже незаконно".

По словам Вадима Чакряна, часто работа "этичного" хакера заканчивается на этапе предоставления отчета о том, что он нашел уязвимости и расположил их в порядке критичности (что лучше устранить в первую очередь, что – во вторую). "Могут быть предложены, если это оговорено, пути решения этих проблем. А все остальное – это уже не его работа, а ребят той компании, которая содержит эти ресурсы".

^{"Этичный" хакер отличается от всем известного вредителя тем, что свою работу выполняет только с разрешения заказчика. Фото с сайта politolog.net}

Как это работает

"Такие хакеры не просто находят уязвимости, они их еще и эксплуатируют, пытаются использовать, чтобы проникнуть в компанию. Одно дело найти уязвимость, другое дело использовать ее, чтобы найти или удалить какую-то информацию. Таким образом, они доказывают, что эта уязвимость существует и может нанести вред", – объясняет "этичный" хакер.

Как найти "этичного" хакера

В Украине услуга "этичного" взлома уже стала легальной. Хакеры абсолютно не прячутся, их можно найти на специальных форумах, сайтах. Есть даже целые компании, которые нанимают к себе опытных пентестеров. "Они сами находят себе людей, которые уже очень хорошо разбираются в информационной безопасности, которые, возможно, сертифицировались по каким-то европейским программам", – говорит айтишник.

Сколько стоит

Для удобства в сети создали калькулятор с примерными расценками услуг "этичных" хакеров. Стоимость взлома по просьбе прежде всего зависит от того, какой объем тестирования нужно провести. То ли это проверка всей компании, то ли отдельного веб-сайта. "Сложно сказать, сколько это стоит. Наверное, где-то от десяти тысяч гривен", – предполагает Вадим.

Компании не хотят тратиться на хакеров

По мнению Вадима Чакряна, в Харькове такому специалисту трудно найти работу. Как обычно, все упирается в оплату труда, а он в свою очередь дорогостоящий. "Да, это очень полезная вещь, но это стоит денег. Компании не хотят тратиться, а информационная безопасность – это всегда тот отдел, который вытягивает деньги из компании, – жалуется "этичный" хакер. – Все те вещи, которые предлагают специалисты информационной безопасности, тормозят производственный процесс, что делает жизнь компании немного сложнее. Надо как-то вести бизнес да еще и этим людям зарплату платить".

"У нас есть компания. Мы работаем. Нас никогда не взламывали. Зачем нам это?" – так считают во многих фирмах. Никто не хочет платить за то, что пока не востребовано. "Почему на Западе это больше развито? Потому что там есть стандарты, которые на госуровне определяют, какой должна быть безопасность в той или иной организации. К примеру, медицинские учреждения должны соответствовать стандарту HIPAA, который также регламентирует и вопросы безопасности персональных данных пациентов. Если учреждение не соответствует определенным стандартам, то оно не сможет работать. У нас на законодательном уровне это пока что не развито", – говорит харьковчанин.

_{Хакеры абсолютно не прячутся, их можно найти на специальных форумах, сайтах.
Фото с сайта ru.golos.ua}

Хакеры могут стать киберполицейскими

Повлиять на ситуацию с работой для "порядочных" хакеров может киберполиция. Вадим считает, что именно эти специалисты первыми должны попасть в ряды киберполицейских. "Я думаю, с приходом новой полиции должно стать меньше "черного" хакерства, разных киберкраж (воровства денег), распространения спама. Они должны устранять эти проблемы эффективно", – надеется Вадим Чакрян.