«Белые хакеры» Казахстана могут законно «взламывать» информационные системы не только частных, но и государственных компаний. Такое право у них появилось в декабре 2023 года, когда вступили в силу законодательные поправки, которые в числе прочего регулируют работу «белых хакеров». Исследовательница информационных систем Катерина Шевченко и президент Центра анализа и расследования кибератак (ЦАРКА) Олжас Сатиев рассказали подробно о том, как работают этичные хакеры.
Кто такие «белые хакеры» и зачем они нужны
Специалисты по тестированию безопасности, они же исследователи информационной безопасности, они же «белые хакеры», – это люди, которые исследуют IT-системы и находят в них уязвимости. Но, в отличие от «черных» хакеров, они делают это этично: с разрешения компаний «взламывают» сайты и рассказывают про бреши в системе, чтобы в будущем владельцы интернет-ресурсов могли устранить недостатки и избежать реальных хакерских атак.
Катерина Шевченко рассказывает, что перед «белыми хакерами» находится такой же веб-сайт, как и перед другим любым пользователем, но они его рассматривают не как источник информации, а как функционал, который нужно изучить и попробовать «сломать». После этого хакеры делают отчет, который сдают владельцам, чтобы те смогли все исправить. Считается, что не взламываемых систем не бывает – взломать можно всё, что угодно. По ее словам, уязвимости находятся почти всегда, но бывают они разными: низкого, среднего и высокого уровня критичности.
Олжас Сатиев привел в пример историю, как несколько лет назад исследователь узнал, как проникнуть в систему и отключить холодную и горячую воду в Астане, столице Казахстана, – это уязвимость высокого уровня критичности. Еще один пример: при тестировании информационных систем одного из банков выяснилось, что можно было прослушать записанные разговоры оператора колл-центра с клиентом, в котором назывались номера карт и личные данные.
Как работают «белые хакеры»
В Казахстане работает частная платформа BugBounty, которая позволяет встретиться «белым хакерам» и владельцам интернет-ресурсов. Через платформу владельцы разрешают этичным хакерам взламывать свои системы без внесения деструктива.
Олжас Сатиев объяснил, как это работает. Сначала владелец системы подписывает с платформой договор, оплачивает участие в программе (нахождение на платформе BugBounty) и выделяет бюджет на оплату «белым хакерам». Хакеры ищут уязвимости в системе компании, высылают об этом отчеты и получают вознаграждение.
Для «белых хакеров», а их на платформе зарегистрировано более 2500, существует публичная оферта, в которой прописаны пункты по NDA (нераспространению информации) и то, какую ответственность они могут понести за деструктив.
К платформе могут подключаться и государственные (они получают услуги бесплатно — об этом ниже), и частные компании.
«Сейчас в системе есть государственные информационные системы, банки пяти стран, телеком-операторы, например, Kcell. Есть и небольшие медицинские организации. Так что, в принципе, любой может подключиться, если он готов выплачивать вознаграждение и если его информационные системы “торчат наружу” в интернет», — объясняет Сатиев.
Безопасны ли «этичные взломы» и что нельзя делать хакерам
По мнению Олжаса Сатиева, рисков для компаний от таких тестов нет. Дело в том, что каждый день различные хакерские группировки и так пробуют атаковать казахстанские государственные ресурсы и частные организации. А в случае с «белыми хакерами» – государство и компании дают легальную возможность найти уязвимости до того, как это сделают мошенники.
Кроме того, для хакеров на платформе установлены специальные правила. Например, специалистам нельзя распространять информацию о найденной уязвимости до ее исправления, устраивать DDos-атаки, использовать агрессивные методы проверки и социальную инженерию на клиентах. Также необходимо удалять личные данные, которые могли быть получены случайно во время тестирования.
Катерина Шевченко рассказывает, что специалисты тестируют только тот периметр информационной системы, который им разрешила компания-владелец. А еще этичные хакеры не имеют права не рассказывать в отчете о найденной уязвимости.
Если человек взламывает веб-сайты для своих целей (к примеру, чтобы потом продать найденную информацию в даркнете), то за это его могут оштрафовать на сумму от 590 тысяч тенге ($1245). А если это еще и повлекло за собой тяжкие последствия, то человеку может грозить лишение свободы до трех лет.
Сколько стоит работа «белого хакера»
Катерина Шевченко говорит, что стоимости услуг этичных хакеров в штате компаний бывают разными и зависят от опыта специалиста. Начинающий сотрудник может зарабатывать от 250 тысяч тенге ($520), старший – от полутора до двух миллионов тенге ($3120-$4160).
По программе BugBounty стоимость услуг тоже бывает разная и зависит от найденных уязвимостей. Например, работа специалиста, который нашел уязвимость низкого уровня, будет стоить до $200, среднего уровня – от $200 до $1000, критического уровня от $1000. Олжас Сатиев поделился, что некоторые исследователи программы могли получать порядка $5000. За рубежом за нахождение уязвимостей получают намного больше.
Ну а если уязвимость обнаружил простой человек, а не профессиональный хакер, то он тоже может рассказать об этом через BugBounty и получить вознаграждение вместо того, чтобы продать эту информацию в даркнете.
«В акиматах (мэриях) разных городов есть сервисы, куда вы отправляете запросы и фотографии, если увидите яму на дорогах либо другие проблемы в городе. Там вам сообщают, что мы, допустим, исправим эту проблему. Вот так же и в инфраструктурном поле – есть возможность легально “сдать” какую-то уязвимость, утечку персональных данных граждан, а владелец системы должен это все исправить. Только за это еще можно получить вознаграждение», – объясняет Олжас Сатиев.
Сколько платят частные компании за участие в программе BugBounty
Тут разлет цифр тоже может быть большим. Он зависит от количества информационных систем и объема работы – для кого-то в год это будет стоить $20 тысяч, для других – все $200 тысяч, рассказывает президент Центра анализа кибератак.
«Надо учесть, что в Казахстане – это новая программа, поэтому у нас не так много заложено денег [в бюджеты компаний на эти цели]. Многие только входят во вкус. А если говорить про зарубежные компании, то они платят миллионы долларов в год за спокойствие, потому что они уверены: большое количество независимых исследователей 24/7 пробуют у них найти уязвимость», – поделился Олжас Сатиев.
Государство за участие в этой программе не платит. Об этом рассказал Руслан Абдикаликов, председатель Комитета по информационной безопасности. По его словам, хакеры сдают найденные уязвимости бесплатно владельцам BugBounty, а ЦАРКА бесплатно их предоставляет уже государству.
«Все, что мы оттуда получаем, сделано по доброй воле “белых хакеров”, и вот за это им большое спасибо», – поделился Абдикаликов.
Самых активных Комитет по информбезопасности награждает грамотами, премий государство им тоже не платит – на это нет бюджетов.
Как поправки об информационной безопасности повлияли на работу «белых хакеров»
Самое важное, что произошло с принятием нового закона, который легализовал институт «белых хакеров», – это ускорение процесса поиска и исправление уязвимостей. За время пилотирования проекта исследователи сдали около 3000 уязвимостей. Олжас Сатиев считает, что ни Минцифры, ни государственная техническая служба, ни сама ЦАРКА не смогли бы за короткий период найти в казахстанском сегменте интернета столько уязвимостей.
Более того, каждый день появляются новые уязвимости в различных системах. Как только исследователи их находят, то сразу проверяют, какие государственные ресурсы или критически важная инфраструктура в Казахстане им подвержена. После этого системы специально тестируют и отправляют отчеты. Если раньше такая работа могла занять несколько месяцев, то сейчас занимает пару дней.
Иллюстрация: freepik.com
Эта публикация финансируется Европейским Союзом. Её содержание является исключительной ответственностью IWPR и не обязательно отражает точку зрения Европейского Союза.