В представлении обывателей хакер – это криминальный элемент, компьютерный взломщик, проникающий в информационные сети, банки данных с целью получения доступа к закрытой информации. Действительно, подобные представления подходят к черным хакерам, но в противовес им действуют так называемые белые или этичные специалисты-исследователи. Сегодня они стали неотъемлемой частью культуры информационной безопасности России.
«Белый хакер как профессия будущего» – дискуссия на эту тему состоялась на конференции «Цифровая индустрия промышленной России» в Нижнем Новгороде. Ее участники оценили перспективы развития этичного хакерства в России.
Между белым и черным.
Бизнес с опаской смотрит на такого рода специалистов. Однако компании, которые учатся работать с хакерами, выигрывают на многих уровнях: за счет точечного поиска уязвимостей снижают издержки на кибербезопасность, повышают защищенность и доверие клиентов и инвесторов, получают ценный независимый взгляд на свою цифровую инфраструктуру. Поэтому белые хакеры – это потенциальные партнеры бизнеса.
– У меня был опыт общения с черным сегментом, и его представители сегодня больше наживают себе проблем, чем зарабатывают. Потом черным хакерам приходится прятаться всю жизнь, они не могут выехать даже за границу, – рассказывает представитель компании Singleton Security Егор Зайцев. – Сейчас у специалистов, занимающихся подобной деятельностью, нет мотивации переходить на «черную сторону». Однако не все готовы надеть «белую шляпу». Человеку, который привык получать деньги легким способом, непросто перестроиться. Этичным специалистом быть сложнее, так как нужно постоянно учиться, когда ты все знаешь – такого момента не существует.
Сегодня и «белый» специалист, занимающийся поиском уязвимостей, все еще рискует, так как подобная деятельность не регулируется законодательством. Работа, цель которой прописать правила игры в правовом поле, сделать их понятными для обеих сторон – и для компаний, и для исследователей ИТ-инфраструктуры, только еще ведется, потому еще и существуют так называемые серые зоны.
– Человек, нашедший уязвимость, так или иначе, получает доступ к закрытой информации, что подпадает под одну из статей Уголовного кодекса, – объясняет хакер с большим опытом, руководитель компании CICADA8 Алексей Кузнецов.
Есть две статьи Уголовного кодекса, которые регулируют эту сферу. Они касаются получения несанкционированного доступа к информации и разработки вредоносного программного обеспечения. Собственно, пентестерская деятельность, которая имитирует реальную хакерскую атаку, подходит под обе.
С другой стороны, вознаграждения специалистам, нашедшим уязвимости, растут, необходимость в такой деятельности признается все большим количеством компаний. Это, безусловно, положительный момент, который хоть как-то регулирует эту отрасль и позволяет людям, ищущим баги (ошибки), меньше придумывать какие-то обходные пути и продавать в теневом интернете уязвимости компаний, которые они выявили.
Важно менять отношение к людям, занимающимся кибербезопасностью и, возможно, отказаться от термина «хакер», заменив его на определение «специалист по тестированию на проникновение» или «специалист по информационной безопасности».
Профессия будущего.
Для привлечения людей, оказывающих такие услуги, бизнесу стоит более тесно с ними сотрудничать и участвовать в создании кибердомов – в проекте, который объединяет сообщество вокруг темы информационной безопасности, а также использовать багбаунти-платформы, выступающие в качестве посредников. Такие платформы – это один из вариантов урегулирования взаимоотношений бизнеса и этичных хакеров. Если бы исследователи ИТ-инфраструктуры хорошо разбирались в бизнес-процессах, тогда багбаунти-платформы были бы не нужны. Белые хакеры сами могли бы объяснить бизнесу, что они сделали, какие последствия могут быть от той или иной уязвимости, и даже могли просчитать риски в денежном эквиваленте.
– Сейчас наши ожидания обращены в сторону Минцифры, Совета Федерации, Госдумы. Мы ждем, что новости появятся уже этой осенью. Это как в известной цитате, ножом можно нарезать хлеб, а можно убить человека. Но это не означает, что сам по себе нож – это плохо. Нужна легализация понятия back-bounty платформы компаний, профессионально занимающихся этой деятельностью. Легальность даст возможность людям создавать и пользоваться инструментами взлома законно в благих целях. Двигаясь в сторону тотальной цифровизации, мы точно придем к тому, что белые хакеры станут профессией будущего, так как ни умные города, ни беспилотные автомобили и многое другое – ничего не сможет существовать без тестирования на безопасность, – отметила заместитель генерального директора АО «Кибердом» Александра Шадюк.
Кибериспытание – это такой метод оценки, измерение защищенности компании в деньгах. Оно предполагает исследование ИТ-инфраструктуры этичными, или белыми хакерами.
– Но со своей стороны бизнес испытывает определенные опасения перед такими оценками. От руководителей компаний часто приходится слышать, что они потратили «сто миллионов рублей на безопасность», и не намерены еще и хакерам платить... Есть стигматизация цифрового хакерства, представление, что исследователи ИТ-инфраструктуры легко меняют «шляпу» – днем они белые, а ночью черные, – поделилась своими наблюдениями генеральный директор АО «Кибериспытание» Наталья Воеводина.
Удовлетворить интерес.
Эксперт по информационной безопасности ГК «Гарда» Лука Сафонов начинал работать еще в советские годы. По его наблюдениям, с годами слово «хакер» приобрело негативный оттенок из-за криминального характера этой деятельности, хотя так раньше называли технарей-исследователей. Сегодня в ряде случаев, хакеру может грозить и более суровое наказание, чем это предусмотрено Уголовным кодексом. Реально «схлопотать» и 25 лет за госизмену, если взломать какой-нибудь сайт, содержащий гостайну. Перспектива оказаться в местах не столь отдаленных на такой длительный срок, понятно, никого не устраивает, тем более, что, как утверждает Лука, контроль за киберсредой становится все более пристальный.
– Рано или поздно, я думаю, многих из тех, кто занимается противоправной деятельностью, найдут. Что касается взаимодействия исследователей ИТ-инфраструктуры и бизнеса, то оно сейчас активно развивается. Я встретил своего знакомого бизнесмена, к которому пришел багхантер, и тот купил то, что стоило пять миллионов рублей, за пять тысяч рублей. Компания заплатила багхантеру деньги, потому, что он просто написал, что выявил и указал определенные уязвимости, он ничего не просил, не требовал, не вымогал. И подобный пример не единственный, – рассказал Лука Сафонов.
Есть такое понятие security txt – это стандартный текстовый файл, который размещается на веб-сайтах, чтобы облегчить исследователям безопасности связь с владельцами сайтов для сообщения о найденных уязвимостях. В «корне» многих сайтов, в том числе на Госуслуги, мос.ру и других известных международных российских сайтах есть файлы, содержащие информацию о том, как связаться с секьюрити-
командой, которая не проигнорирует найденную ошибку, обязательно ответит и, как правило, там предусмотрена возможность отправить зашифрованные сообщения. А вот отправлять информацию о найденной уязвимости на официальную почту организации не имеет смысла.
– Хакеры – это люди с неординарным мышлением. Нередко они ищут баги (ошибки) по своей инициативе, потому что это им просто интересно. Даже если у вас нет бюджета на оплату работы исследователя ИТ-инфраструктуры, но ваш проект социально значимый, то можно поступить так же, как в свое время сделала крупнейшая зарубежная компания Sony, – она дарила багхатерам бейсболки/футболки с надписью: «я взломал Sony». Есть парень, который взломал датское правительство и у него есть единственная в мире футболка, с соответствующей надписью. И в России есть условно государственная багбаунти-платформа, люди, работающие там, уже не раз передавали информацию об уязвимостях бесплатно, – отметил Сафонов.
Что почем?
По данным Super Job, зарплата среднего пентест-специалиста в Москве начинается от 100-150 тысяч рублей.
По данным платформы Bug Bounty Standoff (это платформа, которая предоставляет возможность компаниям размещать программы по поиску уязвимостей, а исследователям безопасности – находить и сообщать о них, получая вознаграждение), за прошлый год максимальная выплата одному специалисту по поиску уязвимости составила 4 миллиона рублей, а средняя выплата за одну такую небольшую найденную уязвимость – 60 тысяч рублей.
Однако, по словам заместителя генерального директора АО «Кибердом» Александры Шадюк, максимальная сумма заработка одним специалистом в последнее время составила более пяти с половиной миллионов рублей, а минимальная – порядка трехсот тысяч рублей.
Опрос.
Вот как относятся к хакерам студенты профильных вузов и студенты кафедр информационной безопасности и информационных технологий престижных столичных вузов (опрошено было 250 человек).
Есть ли у вас интерес к хакерам и как к профессии?
• Да, есть периодически изучаю эту тему – 78,7%.
• Нет, не хочу иметь ничего общего с этими ребятами – 23,3%.
Как вы относитесь к профессии хакера?
• Положительно – 37,1%.
• Нейтрально – 30%.
• Скорее положительно – 23,6%.
• Отрицательно – 9,3%.
Каково это быть хакером? Выберите подходящие характеристики.
• Интеллектуально – 20,3%.
• Рискованно – 19,2%.
• Прибыльно – 17,8%.
• Азартно – 15,2%.
• Перспективно – 14,1%.
• Востребованно – 13,4%.
Вместо комментария.
Генеральный директор Innostage Айдар Гузаиров:
– Свою компанию, которая учит, по сути, зарабатывать на стратегии кибербезопасности, мы год назад выставили на кибериспытание и дали возможность хакерам в непрерывном режиме себя тестировать, по сути, взламывать. Это было непростое решение, большой риск, так как на кону была наша репутация и финансы – обещанная нами награда в 10 миллионов рублей. Компания выстояла, сейчас мы сознательно повысили награду до 20 миллионов рублей. Таким образом мы не только привлекаем внимание к себе, но и покупаем внимание более сильных хакеров.
Между тем.
В создании отрицательного имиджа хакеров отчасти виноват кинематограф. По статистике 2024 года, в 99 процентах готовящихся сценариев сериалов и передач хакеры представлены в черном цвете, рассказали в АО «Кибердом».
Справка «НН».
Пентестеры.
Пентест – тестирование безопасности на проникновение, комплекс мер, которые имитируют реальную атаку на сеть или приложение. Цель пентестера – понять, может ли гипотетический злоумышленник взломать систему.
Багхантеры.
Люди, которые занимаются поиском ошибок в программном обеспечении и интернет-сервисах за вознаграждение. Программы багхантинга существуют во многих крупных международных и российских компаниях. Уязвимости и ошибки традиционно делятся на простые, средние, сложные и критические.
Киберзащитники. Red Team и Blue Team.
Команды специалистов в области кибербезопасности: Red Team – команда нападения, ее участники организуют кибератаки на
ИТ-инфраструктуру компании, чтобы выявить ее слабые места. Blue Team – команда, ответственная за защиту компьютерных систем от кибератак.
Белые шляпы.
Они выявляют недостатки безопасности компьютерных систем и сетей и дают рекомендации по улучшению.
Сок-аналитики.
Специалисты по анализу защищенности от английского Security Operations Center (SOC).
«Баг».
Это сленговое слово, часто используемое в сфере ИT, особенно в программировании, для обозначения ошибки в программном обеспечении или в работе программы. Сленговое словечко «баг» указывает на нештатную ситуацию, когда что-то работает не так, как ожидалось. Происходит от английского слова «bug», которое также означает «жук, насекомое». Этот термин «баг» стал широко распространен благодаря истории о мотыльке, который вызвал замыкание в проводке на заре развития компьютеров.
Александра Махлина. Фото Александра Воложанина.