Ο σιωπηλός πόλεμος των ηθικών χάκερ

Οι ηθικοί χάκερ προσλαμβάνονται από εταιρείες ή κοινότητες για να δοκιμάσουν την αντίσταση των συστημάτων υπολογιστών τους σε επιθέσεις στον κυβερνοχώρο. Ο σιωπηλός τους πόλεμος έχει ταχθεί αυτούς που πρέπει να προστατεύσουν τα δεδομένα μας. 

Οι ειδικοί στην καταπολέμηση του εγκλήματος στον κυβερνοχώρο, οι ηθικοί χάκερ εργάζονται για την προστασία και την ενίσχυση της ασφάλειας πληροφορικής των εταιρειών και των κυβερνήσεων που τους προσλαμβάνουν. 

Σύμφωνα με τον κοινοτικό ιστότοπο HackerOne, ο οποίος συγκεντρώνει περισσότερους από 600.000 ηθικούς χάκερ σε όλο τον κόσμο, το πρώτο σχέδιο επιβράβευσης των χάκερ για τον εντοπισμό προβλημάτων σε ένα πρόγραμμα υπολογιστή ή λειτουργικό σύστημα χρονολογείται από το 1983: αυτό ονομαζόταν πρόγραμμα επιβράβευσης σφαλμάτων. 

Από τότε, αυτά τα προγράμματα επιβράβευσης σφαλμάτων έχουν πολλαπλασιαστεί. Το 2020, οι ηθικοί χάκερ στην πλατφόρμα hackerone φέρεται να επέλυσαν περισσότερα από 300.000 ελαττώματα και ευπάθειες υπολογιστή με αντάλλαγμα περισσότερα από 200 εκατομμύρια δολάρια σε επιδόματα. 

Όσον αφορά την ασφάλεια και την άμυνα, η χρήση τεχνασμάτων οποιουδήποτε είδους δεν είναι ούτε ανοιχτή ούτε θορυβώδης. Σε μια πρωτοποριακή μελέτη για αυτό το θέμα, εξετάσαμε τι συνιστά τη σιωπηλή ηθική των ηθικών χάκερ στον πόλεμο που διεξάγουν εναντίον των εγκληματιών του κυβερνοχώρου. 

Σε γενικές γραμμές, οι ηθικοί χάκερ ειδικεύονται σε δοκιμές διείσδυσης υπολογιστών σε εταιρείες που συναινούν, προκειμένου να διερευνήσουν τα τρωτά σημεία και να προτείνουν διορθωτικές ενέργειες όπου χρειάζεται. Η σιωπή τους εξασφαλίζει τόσο τη μετάδοση γνώσεων ( μόνοι μπροστά στην οθόνη), την εκπαίδευση και την απόκτηση δεξιοτήτων, αλλά και την κοινωνικοποίηση μέσα σε μια κοινότητα και ένα επάγγελμα καθώς και την ανάδειξη της εμπειρίας και της φήμης τους. 

Όλες αυτές οι διαστάσεις συνδέονται συγκεκριμένα και στην πραγματικότητα χωρίζονται σε τρεις στιγμές: πριν, κατά τη διάρκεια και μετά την ηθική αποστολή hacking. 

Πριν την αποστολή

Πρώτα απ 'όλα, οι ηθικοί χάκερ πρέπει να αποκτήσουν και να αναπτύξουν τις τεχνικές δεξιότητες που είναι απαραίτητες για να γίνουν πραγματικοί δοκιμαστές ικανοί να ανιχνεύουν τρωτά σημεία, γενικότερα ελαττώματα ασφαλείας, συγκεκριμένα καταρτισμένοι και νόμιμοι επαγγελματίες. Ωστόσο, η εκπαίδευσή τους συχνά ξεκινά στην εφηβεία, στην απομόνωση, πολύ πριν την είσοδο στην τριτοβάθμια εκπαίδευση. Στη συνέχεια, η πρόσβαση στην εκπαίδευση για ηθικούς χάκερ παρέμεινε από καιρό δύσκολη λόγω του μικρού αριθμού προσφορών καθαυτών. Ωστόσο, αυτά τα μαθήματα κατάρτισης έχουν αυξηθεί σημαντικά πρόσφατα και έχουν γίνει εμφανή στη Γαλλία και ιδιαίτερα στις Ηνωμένες Πολιτείες. 

Όταν μια εταιρεία προσλαμβάνει ηθικούς χάκερ, το κάνει χωρίς μεγάλη δημοσιότητα. Οι προσκλήσεις υποβολής προσφορών είναι σπάνιες. Εξειδικευμένες αμερικανικές πλατφόρμες όπως το HackerOne συνδέουν εταιρείες που ζητούν με πρόθυμους χάκερ. Ωστόσο, τα συμβόλαια δεν δημοσιοποιούνται: ούτε οι αποστολές, ούτε το ύψος της ανταμοιβής, ούτε τα αποτελέσματα... 

Οι όροι της σύμβασης καλύπτονται εξ ορισμού από το επαγγελματικό απόρρητο: πριν από τη διεξαγωγή μιας δοκιμής διείσδυσης, είναι σημαντικό να λάβετε τη συγκατάθεση των κατόχων του συστήματος για το τι μπορεί και τι δεν μπορεί να γίνει. 

Κατά τη διάρκεια της αποστολής

 Κατά τη διάρκεια των δοκιμών διείσδυσης, οι ηθικοί χάκερ αποκτούν πρόσβαση σε ευαίσθητες ή εμπιστευτικές πληροφορίες σχετικά με τον οργανισμό (στοιχεία υπολογιστών, οικονομικά δεδομένα, δεδομένα logistics κ.λπ., για να μην αναφέρουμε διπλώματα ευρεσιτεχνίας) και τους υπαλλήλους του (φορολογικά και διοικητικά δεδομένα κ.λπ.). 

Το επαγγελματικό απόρρητο σχετικά με τις πληροφορίες που συλλέγονται άμεσα ή έμμεσα είναι απαραίτητο. Ομοίως, τα τρωτά σημεία και τα ελαττώματα που ανακαλύφθηκαν κατά τη διάρκεια της αποστολής πρέπει όλα να αναφέρονται μόνο στον χορηγό, χωρίς να δημοσιοποιούνται ή να χρησιμοποιηθούν στη συνέχεια. 

Η ηθική παραβίαση έχει διαφορετικά νομικά πλαίσια από χώρα σε χώρα: οι τοπικοί νόμοι και κανονισμοί σπάνια ταιριάζουν, είτε στην Ευρώπη είτε εντός ομοσπονδιακών κρατών, για παράδειγμα στην Ινδία ή στις Ηνωμένες Πολιτείες . Το μεταβαλλόμενο νομικό πλαίσιο απαιτεί επομένως από τους χάκερ να ασκούν τη μέγιστη διακριτική ευχέρεια, κατόπιν αιτήματος και προς όφελος του εργοδότη τους. 

Μετά την αποστολή 

Στο τέλος μιας αποστολής, οι υποχρεώσεις των ηθικών χάκερ δεν τελειώνουν εκεί. Συμβατικά, δεν έχουν πλέον δικαίωμα πρόσβασης στο σύστημα του οργανισμού-πελάτη. Ταυτόχρονα, πρέπει να σβήσουν κάθε ίχνος της παρουσίας και της δραστηριότητάς τους και να σταματήσουν κάθε μορφή δοκιμής. Επιπλέον, οι ηθικοί χάκερ δεν πρέπει να αποκαλύπτουν ό,τι είδαν (στρατηγικές πληροφορίες, ιδιωτικά δεδομένα, εντοπισμένες αστοχίες και τρωτά σημεία, κ.λπ.), τι έγινε ή να αποθηκεύουν τα δεδομένα που συλλέχθηκαν. 

Επίσης, δεν πρέπει να πωλούν αυτά τα δεδομένα που έχουν συλλεχθεί. Το επαγγελματικό απόρρητο είναι απαραίτητο, καθώς η διατήρηση σχέσεων με κάθε πελάτη είναι απαραίτητη για τη διασφάλιση της σωστής παρακολούθησης των εργασιών που εκτελούνται. 

Η πρόκληση για τους ηθικούς χάκερ έγκειται στο να αξιοποιήσουν την εμπειρία τους για μελλοντικές εργασίες με πιθανούς πελάτες. Αυτό πρέπει να γίνεται με μέτρο, δηλαδή με σεβασμό των κανόνων εμπιστευτικότητας και χωρίς να προσδιορίζεται ως στόχος από πιθανούς ανταγωνιστές ή ακόμα, το πιο σημαντικό, από εγκληματίες χάκερ. 

Σε κάθε στάδιο της αποστολής, βρίσκουμε τους κανόνες εμπιστευτικότητας που σχετίζονται με το επαγγελματικό απόρρητο. Συγκεκριμένα, οι ηθικοί χάκερ μπορούν να υπόκεινται σε επαγγελματικό απόρρητο λόγω αποστολής (ως πάροχος υπηρεσιών για έναν οργανισμό δημόσιας υγείας για παράδειγμα) ή λόγω λειτουργίας (ως δημόσιος υπάλληλος). Ωστόσο, προς το παρόν δεν υπόκεινται στο επαγγελματικό απόρρητο ως επάγγελμα. Καθώς οι ανθρώπινες και επαγγελματικές δραστηριότητες ψηφιοποιούνται όλο και περισσότερο, η κυβερνοασφάλεια καταλαμβάνει μεγάλο μέρος των θεμάτων ασφάλειας, είτε εσωτερικά είτε εξωτερικά, δημόσια ή ιδιωτικά. 

Δεν είναι πλέον θέμα εργασίας για τη λειτουργική συνέργεια μεταξύ των τμημάτων εντός των οργανισμών, αλλά μάλλον για συστημική ενσωμάτωση της κυβερνοαπειλής και της διαχείρισής της για ολόκληρο τον οργανισμό και τους ενδιαφερόμενους φορείς του (εργαζομένους, πελάτες, προμηθευτές και την κοινωνία των πολιτών γενικότερα). 

Η σιωπή είναι το θεμελιώδες στοιχείο της εκπαίδευσης των ηθικών χάκερ (πριν από την αποστολή), της κοινωνικοποίησης (πριν και κατά τη διάρκεια της αποστολής) και της φήμης (μετά την αποστολή). Αυτή η σιωπή μεταδίδει και επιβάλλει, κοινωνικοποιεί και προωθεί, αλλά και προστατεύει αυτούς που πρέπει να προστατεύουν τα δεδομένα όλων. 

Το να είσαι ηθικός χάκερ συνιστά τελικά μια επιχειρησιακή δέσμευση, αλλά και μια πολιτική που υποχρεώνει τους δημόσιους και ιδιωτικούς οργανισμούς να ευθυγραμμίσουν καλύτερα τη στρατηγική και την ηθική, με κίνδυνο να θέσουν τον εαυτό τους σε κίνδυνο.

Πατρίς Καϊλέμπα Καθηγητής Διοίκησης, PSB Paris School of Business Nicolas Dufour Affiliate Professor, PSB Paris School of Business 

https://theconversation.com/la-guerre-silencieuse-des-hackers-ethiques-253582