Кибербезопасность: как защититься и при этом не нарушить закон?

Проблемы правового регулирования в  сфере поиска программных ошибок существуют  на всей территории США. Независимые киберзащитники могут столкнуться с обратной стороной антихакерских законов и в Массачусетсе. Прибыльный фриланс может обернуться для компании судебными преследованиями при использовании спорных, пусть и эффективных, киберметодов. Поэтому краудсорсинговые платформы настаивают на создании юридической основы, которая обеспечивала бы и защиту компаний от кибервзломщиков, и безопасность независимых охотников на багов .

От воскресного хобби – к хорошим деньгам

Краудсорсинговые компании по охоте за системными ошибками – как такси Uber, только в мире кибербезопасности. Напомним, что Uber позволяет независимому водителю связаться с пассажиром, то есть компания выступает как посредник, на этом ее функции исчерпываются. Тем временем такие организации, как Bugcrowd и HackerOne, действуют по схожему принципу: они помогают заинтересованным компаниям-клиентам найти специалиста, готового в свободное время заняться поисками недостатков в программном коде заказчика.

Такой подход к работе позволил гигантам в сфере кибербеопасности расширить свои базы работников до сотен тысяч опытных программистов. Эти фрилансеры играют важную роль в жизни крупных предприятий и компаний. Независимые IT-специалисты обеспечивают мощный тыл, укрепляя слабые места в полотне программного обеспечения. Ведь сегодня атаки кибервзломщиков становятся все более изощренными и активными.

Многие киберзащитники заняты на своей основной работе, а выявление багов в чужом коде для них – просто хобби, которое приносит дополнительный доход. Для другой же категории программистов такая деятельность – основной способ заработка. В основном фрилансеры, работающие на краудсорсинговых платформах, родом из США и Европы, но есть и представители из неблагополучных стран с низким уровнем жизни. Чаще всего именно эти люди в погоне за высоким доходом готовы искать ошибки полный рабочий день и даже больше.

Заработки в сфере кибербезопасности могут составлять очень приличные суммы, особенно для наиболее талантливых и трудолюбивых программистов. Так, например, HackerOne насчитывает более 200 000 зарегистрированных фрилансеров, 12% из которых получают около 20 000 долларов США в год, а около 3% зарабатывают более 100 000 долларов США.

Борцы с багами

Пожалуй, наиболее крупные компании, которые используют краудсорсинг для выявления системных ошибок, – это GM, Apple, Microsoft и Starbucks. Сегодня эти гиганты активно запускают «bug bounty», то есть программы, с помощью которых люди могут получить денежное вознаграждение за выявление программных ошибок. Примечательно, что некоторые платформы, например, Bugcrowd, могут предупредить сообщество независимых IT-специалистов о запущенных программах. Это позволяет выделить приоритетные ошибки для охоты.

Для многих программистов подобный фрилансинг выступает не только способом заработка, но и некой формой соревнования. Ричард Рашинг (Richard Rushing), главный специалист по информационной безопасности для производителя смартфонов Motorola Mobility, говорит, что код анализируют одновременно сотни тысяч пар глаз. Это позволяет обеспечить постоянный контроль и своевременные корректировки, когда охотники-фрилансеры быстро сообщают о недостатках программного обеспечения, желая получить награду до того, как это сделает соперник.

По мнению экспертов, к 2021 году вакантные места в сфере кибербезопасности будут закрыты по всему миру из-за нехватки квалифицированных рабочих мест, поэтому фрилансеры смогут облегчить нагрузку  штатных сотрудников компаний.

Внимание! Опасный бизнес

При огромном количестве достоинств краудсорсинговые платформы сталкиваются с несколькими серьезными проблемами. Одна из них – это поиск талантливых охотников за ошибками. Все-таки на хакеров в университете не учат, а об опыте работы спрашивать не принято.

Другая – не менее серьезная – это отсутствие юридической ясности относительно методов и инструментов, которые используют программисты для поиска багов. Например, популярная тактика использования инъекционных атак подразумевает вставку кода в программные приложения, что может изменить способы выполнения системных задач. Такой подход может привести независимого IT-специалиста к судебному разбирательству, например, по Закону о компьютерном мошенничестве и злоупотреблениях в Америке (CFAA).

Некоторые краудсорсинговые платформы стараются устанавливать бОльшую юридическую ясность и потому уточняют, какие именно  приемы программисты могут безопасно использовать. Уже были случаи, когда специалисты по безопасности сталкивались с юридическими проблемами, связанными с выявлением уязвимостей в коде компаний.   Всего лишь несколько громких судебных процессов могут просто «убить»  отрасль.

Как создается киберклан?

Краудсорсинговые платформы решают проблемы нехватки компетентных независимых специалистов, которые способны качественно выполнять поиск ошибок. Для решения этой задачи некоторые компании размещают дополнительную специализированую информацию, она помогает фрилансерам повысить свои навыки.

Например, Bugcrowd представила Bugcrowd University с бесплатными вебинарами и письменными руководствами для таких инструментов, как Burp Suite, который используется для тестирования безопасности веб-приложений. Платформа также работает с опытными IT-специалистами, помогающими выявить и обучить перспективных фрилансеров.

Отличительные качества лучших новобранцев – любознательность, умение схватывать на лету, способность адаптироваться к изменениям.

«Технология развивается так быстро, что ее часто трудно догнать», – объясняет Филлип Уайли (Phillip Wylie), талантливый сподвижник Bugcrowd в Далласе.

HackerOne также публикует большое количество учебных материалов и тренингов для независимых охотников за ошибками. Например, начинающие фрилансеры не только знакомятся с техническими особенностями выполнения заказов, но и получают навыки более эффективной коммуникации с корпоративными IT-отделами.

Чем забота о безопасности отличается от паранойи

На правовом фронте краудсорсинговые платформы стремятся к большей безопасности  и применяют «safe harbor» с целью включить в контракт  перечень регулирующих ошибок.

Под «safe harbor» (дословно – «безопасная гавань») обычно подразумевается положение, которое вносится в Статут для пояснения, какое поведение не будет считаться нарушающим существующие правила. Обычно необходимость в «safe harbor» возникает тогда, когда существующие стандарты сформулированы расплывчато или могут трактоваться двояким образом.

«Цель, – говорит Адам Бакус (Adam Bacchus) из HackerOne, – состоит в том, чтобы заставить компании понять, что, если программисты будут следовать правилам взаимодействия в разумных пределах, они не будут привлечены к суду».

Bugcrowd также сотрудничает с исследователем безопасности Амитом Элазари, который  отстаивает необходимость создания «safe harbor». В результате происходит запуск инициативы под названием disclose.io – стандартизованной основы для поиска багов. Это может обеспечить разрешение некоторых методов поиска, которые обычно были бы явным нарушением законоположений,  касающихся борьбы  со взломом.

Разумная инициатива  может эффективно помочь таким группам, как «Electronic Frontier Foundation», защититься от законов, подобных  CFAA.

Кейси Эллис, основатель и председатель Bugcrowd, говорит, что некоторые страны (например, Великобритания и Германия), тоже имеют строгие законы по борьбе со взломом. Правовая база этих стран также нередко используется против независимых специалистов по поиску багов.

Разумеется, вышеупомянутые законы необходимы для защиты компаний  от хакерских атак. Но задачи ближайшего будущего – прийти к разумному балансу между безопасностью независимых IT-специалистов и защитой компаний от взломщиков. Достижение сбалансированной правовой среды в этом вопросе будет нелегким делом, но, учитывая нехватку в мире специалистов по кибербезопасности,  эту проблему необходимо срочно решать.

Понравилось? Поставьте лайк нашему проекту – www.ilike.boston, подписывайтесь на наши новости и звоните нам, если собираетесь в Бостон, Нью-Йорк или в деловую поездку по Америке.

Прочитайте этот материал в новостях на английском