С 1 марта Минцифры России и ПАО «Ростелеком» запускают проект по поиску уязвимостей на государственных цифровых ресурсах. Программа пройдет в несколько этапов. На первом независимые исследователи проверят портал Госуслуг и Единую систему идентификации и аутентификации. Дальше список ресурсов будет расширен, а условия — обновлены. Экспертное сообщество считает, что привлечение «белых» хакеров должно войти в постоянную практику работы госорганов и госкомпаний.

Привлечение таких специалистов – стандартная практика для выявления потенциальных рисков и уязвимости ресурсов, которыми потенциально могут воспользоваться злоумышленники. Услугами «белых» хакеров часто пользуются во всем мире как коммерческие компании, так и государственные органы. Одним из первых известных примеров такого этического взлома стала проведенная в ВВС США проверка безопасности операционной системы Multics во второй половине ХХ века. Идея этического взлома, направленного на повышение безопасности в интернете и локальных сетях, принадлежит голландскому программисту и физику Витсе Венема и американскому исследователю компьютерной безопасности Дэну Фармеру (он первым разработал сканер уязвимостей для операционных систем Unix и компьютерных сетей). Чтобы получить данные и контроль над выбранными «жертвами», они проанализировали множество систем. После чего собрали все инструменты, которые использовали для взлома, в одной программе – SATAN, что переводится как инструмент администратора безопасности для анализа сетей (Security Administrator Tool for Analyzing Networks).

Развитие цифровой среды закономерно влечет за собой появление нарастающего объема самых разных данных в обороте, замечает член Комитета Госдумы РФ по информационной политике, информационным технологиям и связи Антон Немкин. «Чем лучше работают наши сервисы, чем больше информации и коммуникаций граждан и государства переходит в цифровую среду, тем больший интерес они представляют для киберпреступников», — говорит депутат.

Он так же напомнил данные Центра противодействия кибератакам компании «Ростелеком-Солар», которые были озвучены недавно на выездном совещании ИТ-комитета: 2022 год стал беспрецедентным по числу утечек персональных данных граждан, а попавшие в общий доступ конфиденциальные данные россиян исчисляются сотнями миллионов строк. Кроме того, в 2022-м беспрецедентному количеству кибератак подверглись самые разные объекты ИТ-инфраструктуры страны: госсайты, сервисы госуслуг, компании, составляющие цифровой контур страны.

Олег Москвитин, и.о. директора Института конкурентной политики и регулирования рынков НИУ ВШЭ, руководитель антимонопольной практики КА «Муранов, Черняков и партнеры» убежден, что работа «белых хакеров» должна стать сегодня таким же обыденным и необходимым инструментом как, например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки различных сторон ведения бизнеса по заказу самих предпринимателей.

«Если привести простейший пример, то даже самый опытный врач время от времени обращается по вопросам собственного здоровья к коллегам. Так и государственным органам и корпорациям, имеющим, безусловно, собственный штат квалифицированных IT-специалистов, важно систематически привлекать “белых хакеров” как независимых профессионалов, которые со своей стороны проверят безопасность информационных систем и либо убедятся в их надежности, либо выявят уязвимости и дадут рекомендации по их устранению», — подчеркнул Олег Москвитин.

Особенно это важно, по мнению главы Института конкурентной политики и регулирования рынков НИУ ВШЭ, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам – в том числе в условиях беспрецедентных по масштабам и агрессивности внешних атак на подобные ресурсы. В таких условиях аудит уязвимости систем силами «белых хакеров» должен быть не просто систематическим, но постоянным.

«Тестируя IT-системы на прочность, «белый хакер» действует по поручению и с согласия владельца такой системы и не совершает чего-либо незаконного. Но, возможно, для максимально комфортного для всех процесса в будущем такая деятельность будет в какой-либо степени специально урегулирована. Причем техническая сторона работы, вероятно, должна в известной степени оставаться непубличной, так как она затрагивает вопросы безопасности», — сказал Олег Москвитин.

Защита цифрового контура страны должна работать на опережение, а не реагировать на уже случившиеся события, убежден Антон Немкин. «Рано или поздно уязвимость на «Госуслугах» найдут, – и лучше пусть это сделает человек, который работает в интересах нашей страны, поэтому нужно привлечь к этой работе таких профессионалов, которые смогут найти уязвимые блоки даже в самых сложных и защищенных системах», — считает депутат.

Он согласен с тем, что нужно разработать необходимое регулирование, которое выведет работу с такими специалистами в правовую плоскость. «Методы “белых хакеров” технически ничем не отличаются от методов преступников, отлична лишь цель их работы. Они работают на то, чтобы определить логику потенциальных хакеров-преступников, модифицировать уязвимые места и усилить защиту информационных систем и ресурсов. Поэтому такие специалисты должны быть защищены с точки зрения закона», — заявил Антон Немкин.