Поделиться
Эксперт: Усилить киберзащиту бизнеса в России помогут "белые" хакеры
Поиск уязвимостей в цифровом контуре компаний может стать эффективнее, если законодательно разрешить поставщикам таких услуг этичный хакинг, сделав его лицензируемым видом деятельности. Инициативу озвучили на телеком-конференции "Платформа 2024". Эксперты доказывают, что при действующих ограничениях проверка кибербезопасности зачастую проходит в тепличных условиях и не позволяет реально защитить бизнес от мошеннических атак.
Как пояснил "РГ" основатель Future Crew (центр разработки решений для кибербезопасности на базе AI), вице-президент МТС по стратегии и инновациям Евгений Черешнев, речь идет о развитии пентестинга, то есть услуг по испытанию компьютерных систем путем контролируемых хакерских атак.
"Заниматься этим запрещает законодательство во многих странах. Даже если ты этичный и публичный хакер с прекрасной репутацией. Тем не менее сами испытания проводятся, поскольку услуга востребована и эффективна. Скажем, для компаний из США специалисты могут проводить пентестинг из стран Латинской Америки, где законодательство более мягкое, - рассказал Черешнев. - Как это работает в России? Вы заключаете с организацией контракт на пентестинг и затем дополнительно получаете у нее разрешение на взлом систем. Конечно, его выдают. Но с жесткими параметрами: такого-то числа в такое-то время вы должны провести атаку на конкретные IP-адреса. По сути, вам выделяют "песочницу", на защиту которой будут брошены силы всех айтишников компании. Это симуляция, консалтинг - что угодно, но не пентест".
Вместе с тем на рынке киберуслуг уже существует практика bug bounty - оплачиваемого поиска уязвимостей в корпоративном ПО или веб-приложениях. Этичные хакеры проводят "разведку боем" и предоставляют клиенту список брешей в защите. Подобным способом испытывали друг друга на прочность специалисты "Лаборатории Касперского" и Positive Technologies. Большинству компаний в России проверка по принципу bug bounty не требуется - они и так знают, что их защита "дырявая", и нуждаются просто в помощи с устранением уязвимостей.
"Для этого, бывает, нужно ограничить влияние директоров по информационной безопасности (CISO), чтобы они не знали, где систему будут взламывать. Тогда ее можно по-настоящему просканировать и выдать перечень уязвимостей", - отметил Черешнев.
По его словам, на уровне законодательства можно предусмотреть лицензирование сложных услуг по проверке кибербезопасности. Тогда сработает естественный отбор, и на рынке останутся те, кто сможет вести качественный пентестинг.
"Сама идея уже известна чиновникам из Минцифры, но для ее реализации необходимо прийти к консенсусу с Роскомнадзором и силовыми ведомствами. Безусловно, у них есть опасения - а вдруг мошенников станет больше. По-моему, больше некуда. У хакеров по всему миру прекрасное финансирование, шикарное оборудование, хорошая маскировка. С началом СВО атаки стали такими интенсивными, что айтишников уже ничем не удивить. Да, глупо ожидать, что все взломщики станут соблюдать правила. Но тем, кто работает открыто, - "белым" хакерам, специалистам по bug bounty, реверс-инженерам - нужно дать шанс работать нормально", - резюмировал эксперт.
