Hebben ethische hackers wettelijke bescherming nodig?

Schrijver: Roger Morrison
Datum Van Creatie: 26 September 2021
Updatedatum: 21 Juni- 2024
Anonim
De ethiek van privacy - Rachel Marbus - Security BootCamp 2018
Video: De ethiek van privacy - Rachel Marbus - Security BootCamp 2018

Inhoud


Bron: Devonyu / iStockphoto

Afhaal:

Ethische hackers kunnen uitbuiting door kwaadwillende hackers helpen voorkomen, dus waarom is wettelijke bescherming voor hen zo belangrijk?

Ethische hackers bieden organisaties waarde door beveiligingslekken te vinden voordat iemand met kwaadaardige bedoelingen ze vindt. Het lijkt vanzelfsprekend dat ze met respect worden bekeken. Dingen zijn echter niet zo eenvoudig als ze lijken. Ethische hackers kunnen worden onderworpen aan juridische acties, zelfs als ze systemen met goede bedoelingen hacken.

Ethisch hacken wordt aanvaardbaar geacht als dit door organisaties wordt gevraagd. Maar zelfs dan maakt het dergelijke hacking niet immuun voor juridische stappen. Het meest precair is de positie van die hackers die ongevraagd, maar met goede bedoelingen, inbreken in systemen. Wetten met betrekking tot ethisch hacken zijn momenteel onvoldoende en vaag. De kwestie van rechtsbescherming voor ethische hackers moet serieus worden aangepakt. De reikwijdte van de werkzaamheden en andere wettelijke bepalingen moeten worden bepaald.


Wat is ethisch hacken?

Zogenaamde ethische hacking is het inbreken in systemen met de bedoeling beveiligingsproblemen te vinden, maar zonder kwaadaardige bedoelingen. Ethische hackers laten de eigenaars of belanghebbenden in het systeem hun bevindingen weten. Ethische hackers kunnen hun werk zowel gevraagd als ongevraagd doen. Organisaties vragen formeel hackers om hun systemen te testen, een regeling die bekend staat als penetrerend testen. Hackers testen de systemen en geven meestal een rapport aan het einde van de taak. Ongevraagde hackers daarentegen testen systemen om verschillende redenen. Gevraagde hacking is potentieel minder gevaarlijk voor hackers dan ongevraagde hacking, vooral omdat ongevraagde hackers formele goedkeuring missen. (Meer informatie over de positieve kant van hacken in 5 redenen waarom u dankbaar moet zijn voor hackers.)

Ethisch hacken is een nuttige en preventieve praktijk en wordt vaak gevraagd. Ethisch hacken kan echter nog steeds veel verschillende problemen veroorzaken. Dergelijke hackers kunnen bijvoorbeeld op een bepaald moment nog steeds toestaan ​​dat kwaadaardige bedoelingen het overnemen, en het ontbreken van wettelijke afspraken kan leiden tot een rommelige situatie.


Ethisch hacken en recht - Een casestudy

Ethisch hacken lijkt op het eerste gezicht een praktijk met goede bedoelingen die alleen lof en dankbaarheid zou moeten uitlokken - dit is niet altijd het geval geweest. In 2013 werd een parlementslid in Nederland geconfronteerd met juridische stappen wegens het wijzen op een beveiligingsfout in de website van een medisch centrum. Het parlementslid had zich op de website van het medisch centrum aangemeld met publiekelijk beschikbare referenties en was een ernstig beveiligingsprobleem tegengekomen. Toen de MP zijn bevindingen openbaar maakte, werd hij door het medisch centrum geslagen met juridische aanklachten. Het incident opende veel verschillende vragen over ethisch hacken. De MP was geen professionele hacker - verre van dat, hij was zelfs niet computer-savvy. Hij bezocht de website met op internet beschikbare referenties en kreeg onbedoeld toegang tot vertrouwelijke gegevens. Om het medisch centrum op de hoogte te stellen van zijn bevindingen, moest hij een bureaucratisch proces doorlopen. Toen hij de urgentie van de situatie inschatte, kreeg hij het nieuws via de media. Het lijkt misschien grappig en ondankbaar dat in plaats van zijn inbreng te erkennen en hem te bedanken voor het wijzen op de beveiligingsfout, het medisch centrum in plaats daarvan besloot hem te vervolgen. Uiteraard zijn er veel problemen met ethisch hacken die moeten worden opgelost. (Zie For the Love of Hackers voor meer informatie over hacken.)

Is ethisch hacken echt ethisch?

Op het eerste gezicht is ethisch hacken een ethische actie die organisaties ten goede komt. Er zijn veel hackers die, gevraagd of ongevraagd, beveiligingsfouten in systemen hebben gevonden voordat iemand anders met slechte bedoelingen ze vindt. Ethisch hacken wordt in de meeste organisaties in verschillende mate intern beoefend of door gespecialiseerde hackers in te huren. Softwarebeveiliging is echter een enorm en complex gebied en interne tests onthullen mogelijk niet altijd alle fouten, vooral in het geval van grote en complexe applicaties die gevoelige gegevens verwerken, zoals financiële of verdedigingsgegevens. In dergelijke gevallen hebt u gespecialiseerde hackers nodig om beveiligingsfouten te vinden. Dat gezegd hebbende, is het de hacker die bepaalt hoe ethisch het hacken zal zijn. Overweeg het volgende om dit punt te begrijpen:

  • Wat als de ethische hacker onethische acties uitvoert tijdens het hacken? Wat als de MP in Nederland bijvoorbeeld de vertrouwelijke gegevens had verkocht in plaats van te wijzen op de beveiligingsfout?
  • Een gevraagde hacker kan het werkgebied overschrijden en zich wagen aan softwaregedeelten die niet zijn toegestaan ​​volgens de overeenkomst.

De bovenstaande scenario's vallen niet buiten het bereik van de mogelijkheden en ze geven ons sterke redenen voor het implementeren van een sterk wettelijk kader voor ethisch hacken.

Heeft ethisch hacken juridische bescherming nodig?

Het lijdt geen twijfel dat ethisch hacken gunstig is voor organisaties. In plaats van juridische bescherming te bieden aan ethische hackers, moeten gerichte wetten worden vastgesteld die de reikwijdte, taken en verantwoordelijkheden van beide partijen bepalen. De wetten moeten de volgende kwesties aanpakken:

Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen

U kunt uw programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.

  • De definitie van ethisch hacken
  • Moet ethisch hacken alleen worden gedaan als dit formeel wordt gevraagd? Toch zijn er veel mogelijkheden voor ongevraagd hacken. Hoe wordt ongevraagde hacking bekeken?
  • Alleen formele en gedetailleerde overeenkomsten tussen de hacker en de organisatie worden behandeld als gevraagd hacking. De overeenkomst moet inhoud ontlenen aan het bredere wettelijke kader.
  • Tijd is een kritieke factor bij het oplossen van een beveiligingslek. Wanneer een beveiligingslek wordt vastgesteld, moet dit mogelijk onmiddellijk worden verholpen om ongeoorloofde inbreuken te voorkomen. Zal elke organisatie een snelle acceptatie van de probleemomschrijving en de nodige actie mogelijk maken? Bureaucratische procedures kunnen actie vertragen en een opening voor ongeautoriseerde hackers ongeadresseerd achterlaten. Zullen ongevraagde hackers worden gestraft als ze bureaucratische procedures omzeilen en andere informatiekanalen gebruiken zoals de MP in Nederland deed?
  • De wettelijke overeenkomst tussen de hacker en de organisatie moet duidelijk de werkingssfeer van ethische hackers vermelden.
  • Definitie van compensatie en beloningen voor zowel gevraagde als ongevraagde hackers
  • Hoe pak je het probleem aan als de ongevraagde hacker misbruik maakt van het beveiligingslek?

Gevolgtrekking

Ethisch hacken heeft een enorm positief potentieel, mits correct gebruikt. Waarschijnlijk is een van de grootste uitdagingen waarvoor het staat, subjectieve interpretatie. Daarom is het noodzakelijk om een ​​objectief, alomvattend en categorisch wettelijk kader te hebben. Het framework moet een evenwicht hebben tussen onbelemmerde bevoegdheden voor zowel hackers als organisaties. Te veel macht kan rampzalig zijn, omdat het ofwel de systemen kan verwoesten of met het vertrouwen of de bedoelingen van de hackers. Tegelijkertijd kan de gemeenschap van ethische hackers ook overwegen om naast het wettelijke kader een zelfopgelegde gedragscode te implementeren.