Čo je
Je vždy zlé, keď vás hacknú?
Odborníci na kybernetickú bezpečnosť odhalili vážnu bezpečnostnú dieru, ktorá umožňovala komukoľvek získať vakcinačné preukazy. Táto udalosť otvára tému tzv. etického hackingu. Môže vôbec byť hacking etický a legálny? Za dodržania určitých podmienok áno.
Len veľmi málo aplikácií a softvérových produktov vzniká bez nutnosti ďalších opráv a odstraňovania bezpečnostných zraniteľností. Aj aktualizácie našich počítačov a mobilných zariadení zvyčajne odstraňujú veľké množstvo identifikovaných zraniteľností pri každej jednej aktualizácii, ktorú nainštalujeme.
Kto sú etickí hackeri
Hoci si slovo hacker často spájame s niekým, kto koná protiprávne a snaží sa získať prístup k cudziemu počítaču alebo údajom pomocou rôznych typov útokov, nemusí to tak vždy byť. Útočníci, ktorých si pod pojmom hacker väčšinou predstavíme, sa v informačno-bezpečnostnej komunite označujú aj ako čierni hackeri (angl. black hats).
Existujú však aj odborníci a komunity ľudí, ktorí namiesto zneužívania objavených zraniteľnosti ich radšej nahlasujú. Títo ľudia, nazývaní aj etickí hackeri, sa stali veľmi dôležitou zložkou zlepšovania bezpečnosti softvérových produktov. Viedlo to v dnešnej dobe až k zavedeniu programov či organizovaniu špeciálnych súťaží (napríklad Pwn2Own) zo strany veľkých softvérových spoločností, ktoré majú za cieľ zlepšovať bezpečnosť ich produktov a odmeňovať ľudí, ktorí im v tom pomohli. Okrem organizovania súťaží si firmy etických hackerov často najímajú. V takom prípade hovoríme o tzv. penetračnom testovaní softvéru, ktorého cieľom je preniknúť do systému a odhaliť tak jeho zraniteľnosti.
Spoločnosť Google má dokonca skupinu ľudí (Project Zero), ktorí sa zameriavajú na hľadanie zraniteľností v rôznych softvéroch aj iných spoločnosti. Tu však zvolili iný prístup a dávajú tvorcom 90 dní na opravu zraniteľností a tú po uplynutí tohto času zverejňujú. Cieľom je vyvinúť tlak na tvorcov softvéru, aby zraniteľnosti odstraňovali v čo najkratšom čase a minimalizovali tým čas na ich objavenie čiernymi hackermi.
V čom je tento prístup pre nás, bežných používateľov, zaujímavý? Ak napríklad niekto nájde zraniteľnosť v systéme v zdravotníctve a nahlási ju jej tvorcom, tak tí jú môžu odstrániť. V opačnom prípade by sa mohlo stať, že príde niekto iný a zneužitím tejto zraniteľnosti sa dozvie podrobnosti o našom zdravotnom stave, prípadne bude manipulovať s našimi zdravotníckymi záznamami. Takéto prípady sa vo svete dejú čoraz častejšie a najmä v období pandémie sa stalo terčom hackerských útokov viacero nemocníc najmä v USA.
Pre úplnosť treba dodať, že existujú aj takzvaní siví hackeri (angl. gray hats). Títo vyhľadávajú zraniteľnosti aj bez súhlasu majiteľa systému, ale ich cieľom nie je (podobne ako pri etických hackeroch) nájdené zraniteľnosti zneužiť, ale na ne upozorniť. Väčšinou chcú za to získať nejakú odmenu pre seba, snažia sa pochopiť princíp fungovania systému alebo len chcú pomôcť zlepšiť bezpečnosť, ak sa im podarí odhaliť novú zraniteľnosť.
Etické hackovanie v kocke
Ako celý tento proces funguje? Určite by sme nechceli, aby bola zraniteľnosť zverejnená hneď, ako je odhalená. Potrebujeme ju opraviť, inak by mohol niekto ďalší použiť túto zverejnenú zraniteľnosť ako návod na vniknutie do systémov.
Štandardne teda etickí hackeri počkajú, kým spoločnosť neodstráni nahlásené zraniteľnosti a až potom zverejnia ich dosah, spôsob ako ich odhalili a obvykle aj k akým zneužitiam mohli viesť.
Trestno-právna rovina etického hackovania
Napriek tomu, že samotné konanie etických hackerov napĺňa znaky skutkovej podstaty počítačových trestných činov ako napríklad neoprávneného nakladania s osobnými údajmi alebo neoprávneného prístupu do počítačového systému, nemusí ísť o protiprávne konanie z pohľadu trestného práva.
Odôvodniť etický hacking ako konanie v súlade s právom je možné minimálne dvoma spôsobmi. Prvým spôsobom je využitie špecifickej okolnosti, ktorá ak nastane, konanie sa nepovažuje za trestný čin (tzv. okolnosť vylučujúca protiprávnosť).
Jednou z okolností vylučujúcich protiprávnosť je výkon práva alebo povinnosti, kde možno zahrnúť plnenie záväzkov zo zmlúv. Práve toto bude častý prípad etického hackingu, ktorý sa vykoná na základe vopred dohodnutých a uzavretých zmluvných podmienok (to napríklad znamená, že firma si etického hackera sama najme, aby vykonal penetračné testovanie jej systémov, prípadne organizuje súťaž s takýmto účelom).
Druhým spôsobom je uplatnenie tzv. materiálneho korektívu. Napriek naplneniu zákonných znakov trestných činov by sa mala zohľadniť aj jeho protispoločenská závažnosť. Pri menej závažných trestných činoch (tzv. prečinoch) je možné vzhľadom na nepatrnú závažnosť konania nepozerať sa na toto konanie ako na trestný čin. Materiálny korektív práve toto umožňuje. Nemôže sa ale vykladať podľa vlastného uváženia, zohľadňujú sa pri ňom určité kritériá ako spôsob vykonania činu a jeho následky; okolnosti, za ktorých bol čin spáchaný či miera zavinenia páchateľa.
Predstavme si prípady etického hackingu vykonaného vo verejnom záujme, bez úmyslu počítačový systém poškodiť alebo spôsobiť akúkoľvek škodu, s cieľom upozorniť na bezpečnostné diery. Zároveň etickí hackeri takéto udalosti nezverejnia do odstránenia chýb. Takéto okolnosti nahrávajú tomu, aby bolo možné materiálny korektív uplatniť. Podľa našich vedomostí slovenské súdy etický hacking doteraz neriešili.
Niekto nás “eticky” hackol – ako reagovať?
“Eticky” hacknutý subjekt by mal v prvom rade dôvodnosť oznámenia preveriť a komunikovať s druhou stranou. Ak mohli byť ohrozené práva a záujmy jednotlivcov ako sú napríklad zákazníci alebo občania, tak absolútne kľúčová je transparentnosť.
Informovanie o odhalenej zraniteľnosti zo strany hacknutého subjektu a o jej náprave by malo byť z hľadiska transparentnosti a dôvery úplným minimom.
Oznamovanie bezpečnostného incidentu príslušným orgánom alebo aj dotknutým jednotlivcom je už v súčasnosti požiadavkou viacerých právnych predpisov z oblasti kybernetickej bezpečnosti alebo ochrany osobných údajov. Samozrejme, zraniteľnosť je potrebné v čo najkratšom čase odstrániť a do budúcnosti podobným situáciám predchádzať dôkladným testovaním softvéru vo všetkých fázach jeho vývoja a údržby, a to vrátane penetračného testovania.