Kde jsou hranice etického hackingu?

V polovině minulého roku informovala zahraniční i tuzemská média o americkém hackerovi, kterému se prostřednictvím palubního zábavního systému podařilo nabourat přímo do řízení letadla a získat přístup k jeho interním procesům včetně ovládání motorů. Kontroverzní hacker Chris Roberts, který je známý svými předchozími bezpečnostními průniky, tehdy dobrovolně o svých výsledcích informoval pověřené autority s žádostí o odstranění nedostatků. Tento postup následně probudil diskuzi o tom, zda je tzv. etický hacking dostatečně regulován.

S rozvojem informačních a komunikačních technologií je neoddělitelně spojena také vyšší míra provázanosti těchto technologií se záležitostmi každodenního života. V důsledku toho už jen s obtížemi hledáme odvětví, kde není, ať už ve větší či menší míře, využíváno technologického pokroku ke zlepšení efektivity a zjednodušení práce. Informační systémy ale nejsou dokonalé a nezřídka se mohou stát terčem útoku zvenčí. Takový postup není samozřejmě úplně žádoucí a je trestán na území většiny států. Nabízí se zde ale otázka, jak pohlížet na aktivity, které vedou k odhalení nějaké bezpečnostní slabiny, aniž je tato slabina zneužita?

V současné době nemálo světových společností či organizací veřejně vybízí k aktivnímu vyhledávání bezpečnostních mezer nebo způsobů obcházení technického zabezpečení jejich softwarových produktů (tzv. reward nebo bounty programy). Za odhalené zranitelnosti čeká úspěšného hackera odměna sahající až do výše 100.000 amerických dolarů. Etický hacking je zde chápán jako alternativa ke klasickému komerčnímu testování (např. penetračním testům) s tím rozdílem, že zde netestuje konkrétní subjekt za předem jasně daných podmínek, ale prakticky kdokoli. Takové testování je samozřejmě mnohem bližší reálnému provozu a hrozbám.

Problém nastává v situaci, kdy dochází k takovému jednání bez souhlasu či vědomí oprávněného vlastníka, autora či provozovatele napadeného systému. V této souvislosti se mluví o tzv. grey-hat hackers, kteří většinou na vlastní pěst vyhledávají bezpečností nedostatky nebo chyby, aniž by z jejich strany docházelo ke škodlivým zásahům nebo v úmyslu někoho ohrozit. Motivací pro takové jednání může být zvědavost, prestiž nebo také méně či více diskrétní upozornění na možné riziko. Právě tato skupina hackerů se v souvislosti s výše uvedeným počínáním Chrise Robertse dostala do popředí zájmů světových medií i vládních orgánů pro kybernetickou bezpečnost.

V IT komunitě převládá názor, že jednání grey-hat hackers je pozitivní právě proto, že objektivně přispívá ke zvýšení bezpečnosti a kvality software, a chrání tak jeho uživatele. Objevují se ale i opačné reakce, kdy firma nebo organizace na odhalenou zranitelnost svého systému či software nejen nereaguje pozitivně, ale dokonce ihned podává trestní oznámení za pokus o průnik do svého systému nebo pokus o prolomení ochrany svého software.

Více informací naleznete v článku na webu SystemOnLine.cz.