Размытая грань между этичным и криминальным взломом
Есть три типа хакеров: белые, серые и черные хакеры. И хотя хакеры в белой шляпе строго подпадают под категорию кибербезопасности, граница не так четкая, когда речь идет о хакерах в серой и черной шляпе.
Понимание разницы
Изначально хакерство легко разделить на четкие категории; законные и незаконные. Взлом в белой шляпе — это практика кибербезопасности, направленная на выявление недостатков и слабых мест в системе безопасности компании. Другие типы хакеров сосредотачиваются только на личной выгоде хакера, игнорируя влияние их действий на репутацию и финансовое положение компании.
Но категории могут стать нечеткими по краям, когда в игру вступают намерения и мораль, особенно при взломе серых и черных шляп. Хотя оба типа являются незаконными, намерения и этика хакеров различны. Черные хакеры часто имеют финансовые мотивы для своих атак. А когда это не напрямую связано с финансами, их целью являются либо данные, либо подавление конкурентов за счет разрушения репутации и инфраструктуры компании.
Хакеры серой шляпы, как правило, попадают в промежуточную область между двумя другими типами. То, что они делают, никоим образом не является законным, поскольку у них нет согласия компании или отдельных лиц, которых они взламывают. Но определение того, хорошие они или плохие, более субъективно. Их цели варьируются от раскрытия данных, которые, по их мнению, должны быть достоянием общественности, и саботажа операций бизнеса, если они считают, что их методология неэтична по их стандартам, до утверждения себя как хакеров и выявления уязвимостей в системах безопасности своих целей.
Но в то время как большинство серых хакеров начинают с серой области хакерства, они часто заканчивают в одной из двух основных категорий.
Вечный хакер в серой шляпе
Понятие кибербезопасности и хакеров, по большей части, было связано с защитой цифровых активов от хакеров, которые могут преследовать их с целью получения финансовой выгоды. Ясно и просто. Сосредоточьте большинство ваших превентивных и ответных мер безопасности на ценных данных, которые хакеры могут использовать для получения финансовой выгоды, и все готово.
Но наличие сегмента опытных хакеров, которые не занимаются прибыльными операциями, усложняет безопасность. Любой тип данных или следов, которые вы оставляете в сети, может быть достаточно веской причиной для атаки серого хакера. Когда риск измеряется этикой и моралью, границы того, что хакер считает неэтичными действиями, становятся размытыми, даже если они были совершенно законными.
В некоторых случаях атака серого хакера может быть хуже для бизнеса, чем атака черного хакера. С одной стороны, финансово мотивированные инциденты кибербезопасности являются более или менее нормой. Не говоря уже о том, что существуют страховые полисы, разработанные с учетом кибератак и утечек данных. Клиенты и клиенты ожидают от компании только надлежащего ответа, например, уведомления пользователей об утечке данных, помощи в создании безопасной замены, а также исправления уязвимости для предотвращения подобных инцидентов в будущем. Вы все еще можете пострадать в финансовом отношении, но ваша репутация может остаться нетронутой после инцидента в зависимости от вашего ответа.
Этически мотивированные атаки, с другой стороны, могут нанести финансовый ущерб своим целям, но их основная цель часто наносит ущерб репутации компании, разоблачая то, что они считают неэтичными действиями. В зависимости от раскрытой информации репутация компании иногда может быть безвозвратно испорчена. И мало что может сделать компания, чтобы спасти разрушенную репутацию, кроме некоторой степени ребрендинга и обещания большей прозрачности, и все это при постоянном наблюдении и подозрении со стороны пользователей и потребителей.
В большинстве компаний нет серых хакеров. Человек, которого они не нанимали, взломав их сеть, редко может принести что-либо, кроме ущерба.
Искупление хакера
Граница между этическим и криминальным хакерством размыта не только для предприятий, их благополучия и репутации, но и для хакеров, как профессиональных, так и любителей. За последние два десятилетия несколько компаний наняли тех же людей, которые их взломали, проявив большой интерес к их навыкам. Это не нишевое решение, принятое небольшими компаниями, пытающимися остаться на плаву. Такие компании, как Twitter, Facebook, Microsoft и Apple, в конечном итоге наняли услуги людей, которые взломали их без их разрешения.
Хотя это может быть сильным стимулом для молодых хакеров заниматься этическим взломом вместо криминального взлома, это все же в некоторой степени приукрашивает незаконный взлом. Некоторых это может привести к тому, что они пойдут непрямым путем и станут этическим хакером вместо того, чтобы начать карьеру в сфере технологий и встать на верный путь.
Разница между серыми и черными хакерами, которые в конечном итоге становятся этичными хакерами, и другими, представляющими серьезную угрозу для компании, зависит от множества элементов, начиная от намерений хакера и заканчивая решениями взломанной компании, что еще больше стирает грань между этическим и преступным хакерством.
Борьба с огнем огнем
Стирание границ между хакерами, основанными на этике, и хакерами-преступниками может быть признаком того, что строгие категории среди хакеров-нелегалов не являются устойчивой моделью. Поскольку требуемый набор навыков одинаков для всех типов хакеров, многие могут в конечном итоге носить несколько шляп и переключаться между ярлыками по своему усмотрению.
А с ростом ценности пользовательских и корпоративных данных, а также повышенным интересом к деталям бизнес-операций количество и серьезность инцидентов с несанкционированным взломом будут только увеличиваться. Лучший способ бороться с тревожным ростом числа хакеров — удвоить усилия по обеспечению безопасности и воспользоваться помощью кого-то, кто понимает, как работают хакеры, белого хакера, этичного хакера. Регулярное тестирование на проникновение и исправление уязвимостей, возникающих во время процедуры, может быть единственной мерой безопасности, стоящей между вами и злоумышленниками, нацеленными на вас в своих собственных интересах или для «общего блага».