Дали наистина е оправдано да бъдат наказвани хакери, ако са

Дали в действителност е целесъобразно да бъдат наказвани хакери, в случай че са създали нещо ползотворно, като да вземем за пример премахване на проблеми с киберсигурността? (снимка: CC0 Public Domain)

Много хора имат вяра, че хакерите-злодеи, които проникват в компютърни мрежи злонамерено, би трябвало да получат % от откраднатите средства и да не бъдат подлагани на наказателно гонене, в случай че върнат по-голямата част от плячката си. В продължение на тази мисъл от ден на ден хора стигат до убеждението, че организацията, в която работят, има интерес да наеме така наречен бели хакери или да вкара стратегия за награждаване на доброжелателното хакване.

Ако кибер-злодеите върнат откраднатото, те не трябва да бъдат преследвани и даже е добре да бъдат възнаградени, имат вяра 48% от запитаните в анкета на Naoris Protocol, която се организира в каналите на обществените медии и партньорските общности през декември. Участвалите в изследването работят в региона на киберсигурността, CeFi, DeFi и обичайните Web2 и Web3 – или се интересуват от тези области.
още по темата
Темата е мощно дискусионна: други 38% в изследването не са съгласни с концепцията за възнаграждаване на злосторниците. Все отново буди размисли въпросът дали в действителност е целесъобразно да бъдат наказвани хакери, в случай че са създали нещо ползотворно, като да вземем за пример премахване на проблеми с киберсигурността.

Naoris Protocol споделя, че от ден на ден хора поддържат ролята на етичните хакери, които работят в границите на разпоредбите на дадената организация. Паралелно с това от ден на ден компании вкарват стратегии за награждаване за етично хакване – така наречен bug bounty. Това даже се вписва като значима част от бюджетите за киберсигурност.

Показателно е, че през 2020 година общата стойност на премиите за открити недостатъци възлиза на 223 милиона $. Според изследователската компания ATR, в този момент се чака този пазар да нараства с по към 54% всяка година и да доближи 5,5 милиарда $ до 2027 година

Награда за връщане на откраднатото

В някои случаи нещата се случват по натурален път. Хакната организация предлага на кибер-злосторниците да им заплати, в случай че разкрият по какъв начин са съумели да пробият отбраните ѝ и надлежно върнат откраднатите пари или запаси.

Така да вземем за пример, LodeStar Finance – компания, която загуби към 6,9 милиона $ при хакване в края на предходната година, изиска връщането на средствата с „ обилно заплащане по договаряне “ като част от съглашение с хакерите. Poly Network щеше да се раздели с 600 милиона $, когато предложи премия на кибербандитите, вследствие на което множеството пари бяха върнати.

Офертата не постоянно се приема добре. Например, Qubit Finance предложи 2 милиона $ премия след хакване на стойност 80 милиона $, само че офертата беше пренебрегната. По същия метод Harmony предложи $1 милион на кибер-бандитите, които я хакнаха, само че и нейната оферта не беше призната. Това може да се дължи на обстоятелството, че хакерите са в положение да вършат по-големи облаги, употребявайки системи за крипто-пари, които им разрешават да скрият историята на своите транзакции.

Подобна мярка е доста противоречива. Самата концепция да откраднеш пари и след това да искаш премия, с цел да ги върнеш, е неприемлива, споделя Моника Овракова, създател и основен изпълнителен шеф на Naoris Protocol. „ Това си е кражба, която е злонамерена. Да го приемем за обикновено би означавало да насърчим хакването, трансформирайки го в законна бизнес-практика. Само тъй като хакерът е благоволил да върне част от откраднатото не значи, че това е добра процедура “.

По-скоро партньорство с етичните хакери

Паралелно с това ползата към партньорства с етични хакери нараства равноускорително. Много организации търсят метод да реализират договорености с „ пен-тестери “, които да изследват отбраната и уязвимостите на ИТ инфраструктурите в фирмите. Други подхождат различно: провеждат срочни или безсрочни стратегии за възнаграждаване при доброжелателно хакване.

Част от уменията на белите хакери, които се ценят високо, са пространното познаване на сигурността в актуалния кибернетичен свят. На процедура това са квалифицирани експерти по киберсигурност с схващане за мрежите, компютрите, отбраната, обществения инженеринг.

Същевременно от тях се чака да са наясно с разнообразието от претекстове, които злонамерените хакери биха могли да имат. При съществуването на предварителна договореност за потребление на услугите на бял хакер от него се изисква да води подробен вестник на своите дейности и откритията си. Важно е всичко при етичното хакване да се документира, с цел да се оценят по-правилно киберрисковете.

Разбира се, неизменима част от ангажимента сред белите и хакери и техните клиенти е запазването на конфиденциалност, акцентират специалистите по киберсигурност.