Potřebují etičtí hackeři právní ochranu?

Autor: Roger Morrison
Datum Vytvoření: 26 Září 2021
Datum Aktualizace: 21 Červen 2024
Anonim
Potřebují etičtí hackeři právní ochranu? - Technologie
Potřebují etičtí hackeři právní ochranu? - Technologie

Obsah


Zdroj: Devonyu / iStockphoto

Odnést:

Etičtí hackeři mohou zabránit zneužití škodlivými hackery, tak proč je pro ně tak důležitá právní ochrana?

Etičtí hackeři přinášejí organizacím hodnotu tím, že hledají bezpečnostní mezery dříve, než je najde někdo se zlými úmysly. Zdá se jen přirozené, že na ně bude nahlíženo s úctou. Věci však nejsou tak jednoduché, jak se zdají. Etští hackeři mohou být předmětem soudního řízení, i když hackají systémy s dobrými úmysly.

Etické hackování se považuje za přijatelné, pokud je žádá organizace. Ale ani to neznamená, že takový hackerství je imunní vůči soudním jednáním. Nejistější je postavení těch hackerů, kteří se vloupali do systémů nevyžádaných, ale s dobrými úmysly. Zákony upravující etické hackování jsou v současné době nedostatečné a vágní. Otázka právní ochrany etických hackerů musí být vážně zaměřena. Je třeba určit rozsah práce a další právní ustanovení.


Co je to etické hackování?

Takzvané etické hackování je praxe pronikání do systémů s úmyslem nalézt bezpečnostní otázky, ale bez škodlivého úmyslu. Etičtí hackeři mají tendenci nechat majitele nebo zúčastněné strany v systému znát svá zjištění. Etičtí hackeři mohou vykonávat svou práci buď vyžádanou, nebo nevyžádanou. Organizace formálně požadují hackery, aby otestovali své systémy, uspořádání známé jako pronikavé testování. Hackeři testují systémy a obvykle poskytují zprávu na konci práce. Nevyžádaní hackeři naopak testují systémy z různých důvodů. Vyžádaný hackerství je pro hackery potenciálně méně nebezpečné než nevyžádaný hackerství, hlavně proto, že nevyžádaným hackerům chybí formální schválení. (Další informace o pozitivní stránce hackerství naleznete v 5 důvodech, proč byste měli být hackerům vděční.)


Etické hackování je prospěšná a preventivní praxe a je často vyžadováno. Etické hackování však může stále způsobovat mnoho různých problémů. Takoví hackeři mohou například v určitém stadiu stále umožnit převzetí zákeřného záměru a nedostatek právních dohod může vést k nejasným situacím.

Etické hackování a právo - případová studie

Etické hackování na povrchu se může zdát praxí s dobrými úmysly, které by měly pozvat pouze chválu a vděčnost - tomu tak vždy nebylo. V roce 2013 čelil poslanec v Nizozemsku poslanci parlamentu v Nizozemsku proti právním úkonům, jejichž cílem bylo upozornit na bezpečnostní chybu na webových stránkách lékařského střediska. MP se přihlásil na web zdravotnického centra s veřejně dostupnými přihlašovacími údaji a narazil na závažný bezpečnostní problém. Když poslanec zveřejnil svá zjištění, bylo zdravotním střediskem fackováno. Incident otevřel mnoho různých otázek o etickém hackování. MP nebyl profesionální hacker - daleko od toho nebyl ani zdatný počítač. Na web vstoupil s přihlašovacími údaji dostupnými na internetu a neúmyslně získal přístup k důvěrným záznamům. Aby zdravotnické středisko informovalo o svých nálezech, musel projít byrokratickým procesem. Posoudil naléhavost situace a dostal zprávy prostřednictvím médií. Mohlo by se zdát jak legrační, tak nevděčné, že místo toho, aby uznal svůj příspěvek a poděkoval mu za poukazování na bezpečnostní chybu, místo toho se lékařské centrum rozhodlo ho stíhat. Je zřejmé, že existuje mnoho otázek o etickém hackování, které vyžadují řešení. (Další informace o hackování naleznete v části Láska k hackerům.)

Je etické hackování opravdu etické?

Na povrch je etické hackování etickou akcí, z níž mají prospěch organizace. Existuje mnoho hackerů, kteří, vyžádaní nebo nevyžádaní, hledali bezpečnostní chyby v systémech dříve, než je někdo jiný se špatnými úmysly najde. Etické hackování se ve většině organizací praktikuje v různé míře interně nebo najímáním specializovaných hackerů. Zabezpečení softwaru je však rozsáhlá a složitá oblast a interní testování nemusí vždy odhalit všechny nedostatky, zejména v případě velkých a složitých aplikací, které zpracovávají citlivá data, jako jsou finanční nebo obranná data. V takových případech potřebujete specializované hackery, abyste našli bezpečnostní chyby. Přesto je to hacker, kdo určuje, jak etické bude hackování. Chcete-li pochopit tento bod, zvažte následující problémy:

  • Co když etický hacker provádí neetické kroky během hackerské práce? Co kdyby například poslanec v Nizozemsku prodal důvěrná data namísto poukazování na bezpečnostní chybu?
  • Vyžádaný hacker může překročit rozsah práce a podnikání do softwarových sekcí, které nejsou podle dohody povoleny.

Výše uvedené scénáře nespadají do oblasti možností a poskytují nám silné důvody pro zavedení silného právního rámce upravujícího etické hackování.

Vyžaduje etické hackování právní ochranu?

Není pochyb o tom, že etické hackování je prospěšné pro organizace. Namísto poskytování právní ochrany etickým hackerům je třeba přijímat cílené zákony, které definují rozsah práce, role a odpovědnosti obou stran. Zákony by se měly zabývat následujícími problémy:

Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života

Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.

  • Definice etického hackingu
  • Mělo by být etické hackování prováděno pouze tehdy, když jsou formálně vyžádány? Přesto existuje mnoho příležitostí pro nevyžádané hackování. Jak budou zobrazeny nevyžádané hackování?
  • Pouze formální a podrobné dohody mezi hackerem a organizací budou považovány za vyžádané hackování. Dohoda by měla odvozovat obsah z širšího právního rámce.
  • Čas je rozhodujícím faktorem při řešení bezpečnostní chyby. Pokud je zjištěna bezpečnostní chyba, může být nutné okamžitě opravit, aby se zabránilo neoprávněnému narušení. Usnadní každá organizace rychlé přijetí popisu problému a nezbytná opatření? Byrokratické postupy mohou zdržet akci a nechat neautorizované hackery neotevřené. Budou nevyžádaní hackeři potrestáni, pokud obejdou byrokratické postupy a použijí jiné informační kanály, jako to udělal poslanec v Nizozemsku?
  • Právní dohoda mezi hackerem a organizací by měla jasně stanovit rozsah práce etických hackerů.
  • Definice náhrad a odměn pro vyžádané i nevyžádané hackery
  • Jak tento problém řešíte, pokud nevyžádaný hacker zneužije bezpečnostní chybu?

Závěr

Etické hackování má obrovský pozitivní potenciál, pokud je správně použit. Pravděpodobně jednou z největších výzev, kterým čelí, je subjektivní interpretace. Je proto nezbytné mít objektivní, komplexní a kategorický právní rámec. Rámec by měl mít rovnováhu mezi neomezenými pravomocemi jak hackerů, tak organizací. Příliš mnoho energie může být katastrofální, protože může buď vyvolat chaos v systémech nebo s důvěrou nebo úmysly hackerů. Komunita etických hackerů se může kromě právního rámce také zamyslet nad zavedením etického kodexu chování.