С 1 марта Минцифры России и ПАО «Ростелеком» запускают проект по поиску уязвимостей на государственных цифровых ресурсах. Программа пройдет в несколько этапов. На первом независимые исследователи проверят портал Госуслуг и Единую систему идентификации и аутентификации. Дальше список ресурсов будет расширен, а условия – обновлены. Экспертное сообщество считает, что привлечение «белых» хакеров должно войти в постоянную практику работы госорганов и госкомпаний.
Привлечение таких специалистов – стандартная практика для выявления потенциальных рисков и уязвимости ресурсов, которыми потенциально могут воспользоваться злоумышленники.
Этический взлом
Услугами «белых» хакеров часто пользуются во всем мире коммерческие компании и государственные органы. Одним из первых известных примеров такого этического взлома стала проведенная в ВВС США проверка безопасности операционной системы Multics во второй половине ХХ в.
Идея этического взлома, направленного на повышение безопасности в интернете и локальных сетях, принадлежит голландскому программисту и физику Витсе Венема и американскому исследователю компьютерной безопасности Дэну Фармеру (он первым разработал сканер уязвимостей для операционных систем Unix и компьютерных сетей). Чтобы получить данные и контроль над выбранными «жертвами», они проанализировали множество систем. Затем собрали инструменты, которые использовали для взлома, в одной программе – SATAN, что переводится как инструмент администратора безопасности для анализа сетей (Security Administrator Tool for Analyzing Networks).
Оборот и утечки данных
Развитие цифровой среды закономерно влечет за собой появление нарастающего объема самых разных данных в обороте. «Чем лучше работают наши сервисы, чем больше информации и коммуникаций граждан и государства переходит в цифровую среду, тем больший интерес они представляют для киберпреступников», – сказал член Комитета Госдумы РФ по информационной политике, информационным технологиям и связи Антон Немкин.
По информации Центра противодействия кибератакам компании «Ростелеком-Солар», 2022 год стал беспрецедентным по числу утечек персональных данных граждан, а попавшие в общий доступ конфиденциальные данные россиян исчисляются сотнями миллионов строк. Кроме того, в прошлом году беспрецедентному количеству кибератак подверглись объекты ИТ-инфраструктуры страны: госсайты, сервисы госуслуг, компании, составляющие цифровой контур страны.
По типу внешнего аудита
Работа «белых хакеров» должна стать сегодня таким же обыденным и необходимым инструментом, как, например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки различных сторон ведения бизнеса по заказу самих предпринимателей, утверждают эксперты.
«Даже самый опытный врач время от времени обращается по вопросам собственного здоровья к коллегам. Так и государственным органам и корпорациям, имеющим, безусловно, собственный штат квалифицированных ИТ-специалистов, важно систематически привлекать “белых хакеров” как независимых профессионалов, которые со своей стороны проверят безопасность информационных систем и либо убедятся в их надежности, либо выявят уязвимости и дадут рекомендации по их устранению», – отметил Олег Москвитин, и.о. директора Института конкурентной политики и регулирования рынков НИУ ВШЭ, руководитель антимонопольной практики КА «Муранов, Черняков и партнеры».
Защита цифрового контура страны
В ситуациях, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам – в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы, – аудит уязвимости систем силами «белых хакеров» должен быть систематическим и постоянным.
«Тестируя ИТ-системы на прочность, «белый хакер» действует по поручению и с согласия владельца такой системы и не совершает чего-либо незаконного. Но, возможно, для максимально комфортного для всех процесса в будущем такая деятельность будет в какой-либо степени специально урегулирована. Причем техническая сторона работы, вероятно, должна в известной степени оставаться непубличной, так как она затрагивает вопросы безопасности», – сказал Олег Москвитин.
Защита цифрового контура страны должна работать на опережение, а не реагировать на уже случившиеся события. «Рано или поздно уязвимость на «Госуслугах» найдут, – и лучше пусть это сделает человек, который работает в интересах нашей страны, поэтому нужно привлечь к этой работе таких профессионалов, которые смогут найти уязвимые блоки даже в самых сложных и защищенных системах», – считает Антон Немкин.
Предстоит разработать необходимое регулирование, которое выведет работу с такими специалистами в правовую плоскость. «Методы “белых хакеров” технически ничем не отличаются от методов преступников, отлична лишь цель их работы. Они работают на то, чтобы определить логику потенциальных хакеров-преступников, модифицировать уязвимые места и усилить защиту информационных систем и ресурсов. Поэтому такие специалисты должны быть защищены с точки зрения закона», – заявил депутат.
