20:00 / 14 октября 2024
Легализацию «белых» хакеров включат в нацпроект - IT Speaker, новости информационных технологий
Деятельность «белых» хакеров, или независимых исследователей безопасности, могут закрепить в законодательстве. Это произойдет в рамках реализации национального проекта «Экономика данных», заявил советник гендиректора Positive Technologies Артем Сычев. Он также отметил, что метод поиска уязвимостей независимыми исследователями в России должен быть обязательным.
«Мы сейчас помогаем Совету Федерации в конкретизации того, что должно быть исправлено в законодательстве, чтобы подобные методы обеспечения анализа защищенности были доступны широкому кругу компаний, включая государственный сектор. Недавно мы помогали формировать обоснование, почему это направление деятельности должно быть в нацпроекте «Экономика данных» и в стратегии развития отрасли связи в целом»», — добавил Сычев.
Напомним, что работа «белых» или этичных хакеров подразумевает тестирование защищенности компаний. Они атакуют значимые сегменты инфраструктуры так, как это бы делали реальные киберпреступники, но по согласованию с заказчиком, а после предоставляют компании отчет о слабых местах в защите.
Сычев отметил, что скорее бы назвал специалистов независимыми исследователями, а не «белыми» хакерами, так как они могут параллельно заниматься различными направлениями в области информационной безопасности и проводить свои исследования.
«Например, наш руководитель SMM-отдела нашел уязвимость в сервисе технологической компании, размещенной на одной из существующих сегодня платформ bug bounty», — подытожил эксперт.
В декабре 2023 года группа парламентариев по главе с членом комитета палаты по информполитике Антоном Немкиным внесла в Госдуму законопроект, направленный на легализацию в РФ так называемых белых хакеров. Спустя несколько месяцев поправки были одобрены комитетом Госдумы по госстроительству и законодательству.
Как рассказала Зарема Шихметова, специалист по анализу защищенности компании «Газинформсервис», «белые» хакеры чаще всего привлекаются через рекомендации или участие в публичных мероприятиях и специализированные платформы. При этом оценка квалификации таких специалистов может быть проведена на основе их сертификатов и накопленного опыта.
Как правило, компании самостоятельно проводят такие конкурсы, определяют направления исследования и озвучивают размеры вознаграждений за найденные способы успешных или частично успешных атак на систему, добавляет Максим Александров, эксперт программных продуктов «Кода Безопасности».
По словам Александрова, выбор методов и инструментов для внешнего исследования безопасности систем начинается с определения внутренней архитектуры системы, то есть как она создавалась, как устроена. После этого опытный пентестер может предположить типичные для тех или иных систем слабые места.
«Чаще всего "белые" хакеры определяют возможные ошибки работы с памятью или сетевыми протоколами, далее используют известные уязвимости операционных систем, которые уже могли получить исправления, но в старых версиях ОС все еще существуют», — рассказывает эксперт «Кода Безопасности».
Однако при сотрудничестве с «белыми» хакерами существуют определенные риски. Так, исполнитель может повести себя недобросовестно и вместо передачи отчета о найденных уязвимостях, продаст эту информацию конкурентам.
«Поэтому большей популярностью пользуется практика открытых конкурсов для пентестеров, когда они соревнуются между собой в поиске проблемных мест ИТ-инфраструктуры. Таким образом снижается вероятность того, что какая-то уязвимость будет найдена лишь одним исследователем и затем скрыта от заказчика», — добавляет Александров из «Кода Безопасности».
Еще одним риском, возникающие при использовании услуг белых хакеров, является возможная компрометация данных. Именно поэтому специалисты в этой области должны обладать высокой квалификацией и опытом, чтобы минимизировать вероятность возникновения таких инцидентов для своих клиентов.
«Кроме того, "белые" хакеры сталкиваются с определенными юридическими сложностями, связанными с необходимостью соблюдения соглашений и нормативных актов. Для предотвращения негативных последствий их деятельности крайне важно заранее обсудить и четко определить юридические рамки сотрудничества до начала работ. Это позволит обеспечить защиту как для заказчика, так и для исполнителя», — добавляет эксперт из «Газинформсервиса».
Зарема Шихметова из «Газинформсервиса» советует предусмотреть в договоре об оказании услуг рамки работы хакера, инструменты, которые он будет использовать, а также предоставить соответствующие разрешения, чтобы избежать возможных сложностей в будущем.
«Оптимальным решением является создание собственной команды белых хакеров в компании, которая будет предоставлять услуги пентеста другим организациям. В то время как хакеры сосредоточатся на выполнении своих задач, юристы и руководители смогут активно искать заказчиков и налаживать связи. Они будут заниматься заключением договоров и решением юридических аспектов оказания услуг по пентесту, обеспечивая тем самым эффективное взаимодействие с клиентами», — говорит Шихметова.
Ранее редакция IT Speaker писала, что Минцифры, ФСБ и МВД хотят создать отдельный реестр для «белых» хакеров в РФ для легализации их деятельности. Представители ИТ-сферы считают такую инициативу непроработанной, так как список ИБ-специалистов, которые занимаются исследованиями уязвимостей в компонентах критической инфраструктуры ИТ-систем, будет интересен злоумышленникам и спецслужбам других стран.
Поделиться новостью
20:00 / 14 октября 2024
19:50 / 14 октября 2024
19:40 / 14 октября 2024
19:30 / 14 октября 2024
12:00 / 14 октября 2024
16:20 / 11 октября 2024
16:00 / 11 октября 2024
13:40 / 11 октября 2024