Над 50% от етичните хакери не са докладвали за уязвимост,

Над 50% от етичните хакери не са докладвали за накърнимост, която са разкрили, поради опасения по отношение на правните последствия (снимка: CC0 Public Domain)

Етичните хакери, които оказват помощ на организациите да пазят по-добре своите ИТ запаси, към момента не са добре предпазени от законодателството в множеството страни по света, само че световната организация HackerOne разгласи основаването на „ златен стандарт “ за работата на този тип висококвалифицирани експерти. Чрез „ златния стандарт “ организациите, ползващи услуги на бели хакери, ще могат да обезпечат високо равнище на отбрана за въпросните специалисти.

HackerOne е платформа за съгласуване на стратегиите за награждаване на етични хакери, откриващи недостатъци и уязвимости в ИТ ресурсите на разнообразни организации по целия свят. Платформата е основана за свързване на бизнес-организациите с „ етични хакери “, които вършат изследвания на киберзащитата и проби за уязвимости и пробиви.

Стандартът на HackerOne е наименуван Gold Standard Safe Harbor (съкратено – GSSH) и е наличен за всички клиенти. Чрез него те могат да показват, че могат и ще защитят етичните хакери от отговорност, когато хакват добросъвестно.

Всяка политика за откриване на уязвимости или оперативна стратегия за награди за неточности към този момент би трябвало да включва декларация за GSSH. Така тя ще обрисува правната отбрана, която етичните хакери могат да чакат. Идеята е посредством основаването на типов образец организациите да могат бързо да вкарат къс, изчерпателен и елементарно понятен стандарт за отбрана на етичните хакери. Последните пък към този момент не би трябвало да проучват всевъзможни разнообразни правила и условия от голям брой разнообразни заявления и изказвания.

Предвид възходящата атакуема повърхнина за организациите доброжелателното ангажиране на хакерите е извънредно значимо през днешния ден, само че за самите тях пък е значително намаляването на риска, уточни Крис Еванс, CISO и основен хак-директор в HackerOne. „ Ние… целим да установим обединен стандарт…, който нашите клиенти могат да възприемат и който оказва помощ на хакерите да се усещат несъмнено при присъединяване си в потребителските стратегии. Когато хакерите са щастливи и ангажирани, организациите реализират по-добра резистентност на офанзиви “.

GSSH е тествана в действителни условия от трима клиенти на HackerOne: туристическа организация на име Kayak, GitLab и Yahoo. И трите показват, че това е значимо, с цел да „ показват своя ангажимент за отбрана на добросъвестните проучвания на сигурността “. „ Изявлението за GSSH ни оказва помощ по-ясно да се разграничим като водеща стратегия за награди за неточности, “ уточни основният софтуерен откривател в на Kayak – Матиас Келер. „ Това е в сходство с другите най-хубави практики, които следваме, като … заплащането за стойност, с цел да подсигуряваме, че най-хубавите хакери се ангажират с нас, с цел да защитят организацията ни “.
още по темата
Фактът, че златният стандарт подсигурява успокоение на етичните хакери, ще им помогне да способстват за сигурността на потребителските организации още по-качествено, показа и Доминик Кутюр, инженер по сигурността в GitLab.

Следващият, към момента непубликуван, отчет на HackerOne откри, че над 50% от етичните хакери са разкрили накърнимост, за която не са докладвали, като една от основните аргументи е, че организацията се е оказала сложна за работа или е била застрашена от правни последствия. Това включва опасността от правосъдни дейности или даже затвор за етичните хакери.

Този проблем стои на дневен ред откогато съществува концепцията за доброжелателните проби за пробиви. Проблемът обаче закупи колосални мащаби в последните три години, поради възходящия обсег на хакерските атаки и все по-динамичния пейзаж в областта на киберсигурността. Затова през днешния ден огромна част от белите хакери държат да имат известни гаранции от регулаторна позиция.

В Съединени американски щати, в Обединеното кралство и в редица други страни, измежду които България, се приказва интензивно за реформиране на настоящото законодателство по отношение на компютърните офанзиви. За юристите и техническите експерти в този момент е предизвикателство да „ сортират “ злонамерения от доброжелателния „ неоторизиран достъп до компютърна система “. Дефиницията би трябвало да разреши санкциониране на злодеите, само че да не криминализира етичните хакерски практики.

От HackerOne се надяват, че до приемането на съответните законови разпореждания в другите страни GSSH ще помогне на организациите да показват, че доброжелателните проучванията в региона на киберсигурността няма да бъдат глобени. GSSH даже може да послужи за обновяването на правната рамка. Неговите дефиниции могат да спомогнат за законовото разграничаване сред доброжелателното хакерство и тестванията за пробиви от злонамерени хакерски атаки или обири на данни, подлежащи на докладване.