Сергей Полунин
Адвокат хакера
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Когда-то давно во всех учебниках по кибербезопасности обязательно была глава про хакеров, которые, как утверждал автор учебника, бывают «черными» и «белыми». Как в голливудских вестернах: в черных шляпах — все злодеи, а вот в белых — благородные ковбои. Стоит ли говорить, что даже в те далекие времена такой подход не выдерживал никакой критики. Даже если после окончания соответствующих курсов хакер получал шляпу нужного цвета, то где гарантия того, что он свои знания будет применять именно так, как написано в учебнике? Картинку про готтентотскую мораль нагуглить могут все, и цвет шляпы — это уже точно вопрос точки зрения, из-за которой жестокие захватчики превращаются в храбрых героев, а коварный тиран — в славного вождя.
Что с этим делать, решительно непонятно, особенно учитывая то, что хакеры сегодня — это не какой-то штучный продукт и уникальное явление.
Хакеров выпускают в промышленных масштабах вузы всего мира, и еще примерно столько же, если не больше, обучаются на всевозможных курсах и даже самостоятельно. Спрос на них велик. Даже если не брать криминальный аспект этого явления, то у каждого второго вендора есть своя Bug Bounty программа. А у каждого первого системного интегратора — свой отдел с пентестерами. Иногда не совсем своими, но тем не менее. Спрос на услуги «белых» хакеров велик. Достаточно посмотреть на количество вакансий.
Однако довольно быстро у их клиентов возник резонный вопрос: а кому мы, собственно, доверяем копаться 56 в нашей инфраструктуре? Ведь если абстрагироваться от ИТ, ИБ и всего прочего, то в компанию приходит человек, который начинается ломать ее инфраструктуру, пытается вытащить конфиденциальную информацию, получить доступ к самому сокровенному, а ему за это ничего не будет. Более того, ему заплатят деньги, и весьма немалые. А как нам убедиться, что он реально не утащит какие-то данные? А он точно нам сообщит, если найдет какую-то критическую уязвимость? А если сообщит, то только нам или кому-то еще? Компании хотят гарантий!
“
Когда человек приходит к врачу, он, как правило, интересуется дипломом и опытом специалиста. Когда кто-то обращается за помощью к юристу, потенциальный клиент читает отзывы. Ignorantia juris non excusat
В мировой практике уже есть прецеденты того, как пентестеры были арестованы за несанкционированный доступ. Эти кейсы легко ищутся в интернете, но важно отметить, что там не всегда идет речь про злую волю. Конечно, заказчикам от этого не легче, раз уж он заплатил деньги за определенный объем работ, а пентестер полез куда не просили, то это повод насторожиться. Но есть и кейсы, где вина пентестера налицо, когда специалист в ходе пентеста обнаружил уязвимости, а затем сам же их использовал для получения несанкционированного доступа. Звучит страшно.
И вот здесь как раз появляется идея про лицензирование этого типа деятельности. Причем, в идеале, индивидуального. И я уверен, что так в итоге и произойдет. Модель этого лицензирования пока неочевидна, но, скорее всего, на помощь придет опыт тех же врачей, юристов и аудиторов.
Как это будет выглядеть в горизонте одного года. Для начала профессиональное сообщество будет формулировать всевозможные кодексы деловой этики и уже внутри этого комьюнити будет формулировать понятия о допустимом. В принципе, это существует и сейчас. Другое дело, что таких сообществ, даже внутри одного государства, заметно больше одного. Затем должны появиться уже юридические образования вроде профессиональных ассоциаций, вступление куда потребует сдачи профессиональных экзаменов, подтверждения опыта работы и, возможно, рекомендацию коллег.
Контроль доступа в такие ассоциации будет важнейшим столпом поддержания репутации.
Обращаясь к хакеру из подобной ассоциации, заказчик будет видеть с кем работает, весь его профессиональный путь и достижения. В итоге может появиться какой-то аналог адвокатской палаты для «белых» хакеров, членство в которой будет обязательным для работы в стране. Со всеми атрибутами: собранием, советом, ревизионной и квалификационной комиссиями.
Причем в этом будут заинтересованы и сами хакеры. Да, безусловно, каким-то специалистам с именем, имеющим уже личные бренды, это будет не так интересно на первом этапе. У них есть имя и своя клиентская база. А вот всем остальным это будет крайне интересно. Особенно если наличие подобной аккредитации станет единственным способом получать доступ к критической информации, да и вообще работать с государственными органами, или, скажем, банками. Или, например, наличие подобной лицензии будет страховать от правовых рисков при участии в bug bounty или подобных мероприятиях. И, конечно, это будет крайне полезно при работе с международными клиентами.
“
Сейчас есть только международная сертификация вроде OSCP или CEH, которая признается, в той или иной степени. А вот наличие государственной лицензии — это, согласитесь, уже совсем другой уровень
Как это будет происходить? Можем порассуждать на эту тему. Сначала необходимо определить, что, собственно, такое этический взлом и чем эти хакеры будут заниматься. А это совсем не тривиальная задача. Пентесты, баг баунти, красные команды, что еще? Далее нужно определить, какие действия запрещены при любых ситуациях. Должен появиться аналог врачебного «не навреди». Затем придется определиться с уровнями этой лицензии. Очевидно, что для кого-то будет достаточно уровня лицензии пентеста сайтов по контракту, а для кого-то — работа с министерством обороны. И это очень разные уровне лицензий с очень разными требованиями к соискателям. Здесь же будет проверка биографии, как при выдаче доступа к государственной тайне, и отсутствие судимостей за киберпреступления.
Скорее всего, кроме собственно образования в государственном вузе, потребуется пройти обучение и практику в каком-то аналоге SANS и Offensive Security, для подтверждения именно практических навыков, которые классическое образование обеспечить не может. Следом нужно подумать о контроле и аудите таких специалистов. Они могут включать регулярную переаттестацию, и хранение каких-то журналов и отчетов о пентестах, и возможность отзыва и приостановления лицензии в случае каких-то проблем. Дальше можно задуматься о международном реестре таких лицензий, если мы захотим привлекать иностранных специалистов для работы над комплексными проектами. Вряд ли это случится в ближайшее время. Скорее всего, такие реестры будут фрагментированы по странам, как это сейчас происходит с медициной и юриспруденцией, но тем не менее.
Лоббизм в своем диком виде может привести к совершенно непредсказуемым результатам.
Звучит это все здорово, но внимательный читатель, может задать вполне резонные вопросы. А, кто, собственно, будет выдавать эти лицензии? Государство? А контролировать соблюдение этики? Мы же знаем из истории, к чему это все может привести — регуляторы и лоббисты могут изуродовать любую отрасль до неузнаваемости, и реальные профессионалы просто вернутся обратно в серую зону, а лицензированные специалисты будут за огромные бюджеты заниматься непонятно чем. И это совсем не фантазии. Благими намерениями вымощена дорога сами знаете куда.
Я очень люблю пример из США начала XX века, когда в городах доминировали экологичные трамваи, а автогиганты вроде General Motors и Firestone смогли убедить государство и чиновников заменить их на автобусы, которые сами и производили. В итоге получили зависимость от этих самых автомобилей, рост загрязнения воздуха и пробок. Или, например, история с GDPR и малым бизнесом. Благое намерение защитить персональные данные вылилось в комплексные требования и высокие штрафы, которые сделали почти невозможной реализацию всего необходимого маленькими компаниями. В итоге многие стартапы просто ушли с европейского рынка. Однако какая-то регуляция все равно неизбежна.
“
Я уверен, что в ближайшие три года мы увидим, как будет меняться рынок труда для «белых» хакеров. Появление лицензирования — вопрос времени
Как это произойдет, пока непонятно. Возможно, это будет инициатива самого сообщества специалистов, которые захотят перевести обсуждение этики своей работы уже в правовое поле. Возможно, появятся какие-то резонансные кейсы, после которых законодатели будут вынуждены как-то справляться с хаосом на рынке. Или это будет часть глобального процесса, где международные организации вроде ISO, ENISA или IETF предложат свою модель лицензирования, и Россия присоединится к общему тренду, а не станет искать свой особых путь. Да и сам пентест, как следствие, будет выглядеть иначе.
Давайте представим себе, как через три года средние и крупные организации не будут искать хакеров среди знакомых, а будут обращаться в какой-нибудь национальный или региональный регистр этических хакеров и выбирать их на базе тендерной системы. Далее будут включаться юристы, согласовывать объем, цели, допустимые техники и, конечно, ответственность сторон.
В автоматическом режиме будет проверяться срок действия лицензии хакера, специализация и какие-то географические ограничения.
Например, кому-то можно работать с ICS, а для каких-то работ нельзя привлекать к работе граждан с двойным гражданством. Далее в надзорный орган подается план всего пентеста и выдается разрешение на проведение работ. Причем в ходе самих работ все действия фиксируются в каком-то аналоге «черного ящика», а все отклонения от плана тут же фиксируются и требуют пояснения. При этом не обязательно людьми, ИИ с этим справится, скорее всего, лучше любого человека. Далее специалисты разрабатывают отчет, где указывают уязвимости и бизнес-риски, а также приводят рекомендации по устранению проблем. Такой отчет подписывается цифровой подписью пентестера и отправляется не только заказчику, но и в государственный реестр ИБ-инцидентов. Конечно, без раскрытия чувствительных данных и с определенном степенью обезличивания, но тене менее.
При обнаружении каких-то особо серьезных уязвимостей необходимо уведомить соответствующие государственные органы или даже передать готовый PoC в специальный реестр для изучения надзорным органом. Здесь же появляется представление о штрафах за неисполнение — от денежного взыскания до отзыва лицензий.
“
Если в ходе пентеста затронуты какие-то ресурсы за пределами страны и уже там обнаружены свои уязвимости, то требуется взаимодействие с иностранными регуляторами и государственными структурами для оповещения о ситуации
Выборочно отчеты о пентестах могут попадать под аудит международных наблюдателей, которые однажды будут учреждены. Картина вырисовывается довольно суровая, и в ней нет места лихим хакерам из фильмов и книг конца XX — начала XXI века. Надо признать, что те времена ушли навсегда, а серьезность проблем, которые несет в себе виртуальное пространство, не оставляет никакой возможности пускать происходящее на самотек. Угрозы слишком велики, а последствия непредсказуемо страшны, поэтому государствам придется вмешаться в этот процесс в очередной раз. В любом случае, хакеры, как признанные профессионалы, должны занять свое достойное место среди уважаемых профессий в XXI веке. Вопрос только в том, как именно это случится.
