Etický hacking – laicky a jednoduše

Už jste slyšeli pojem etický hacking? Zdá se vám to jako oxymorón? Nevíte, co si pod tím představit?  V tomto příspěvku vám jednoduše vysvětlím, v čem etický hacking spočívá, jak se liší od neetického hackingu a v čem je přínosný pro firmy.

Nejprve je třeba pochopit co je to hacking. Implicitně se pod pojmem hacking skrývá ten neetický. Jde o neautorizovaný přístup k počítačům, sítím, e-mailům či jiným zařízením za účelem získat či měnit data, ke kterým nemáte mít přístup. Hackování je nelegální aktivita a v některých případech se za jeho provozování můžete dostat i do vězení. Přesto, že se jedná o nelegální aktivitu, existuje ve světě několik stovek tisíc hackerů, kteří mohou a podnikají miliony útoků na zařízení a sítě po celém světě. Proto existují také etičtí hackeři, kteří používají naprosto stejné metody a nástroje jako klasičtí a s povolením majitele systému se snaží odhalit bezpečnostní chyby, které by mohly být zneužity k infiltraci jeho systému. Etičtí hackeři pracují s povolením majitele systému, a proto je jejich činnost naprosto legální.

Tři typy hackerů

Rozlišujeme tři typy hackerů. Klasicky se používá označení pomocí barev – bílí, šedí a černí (z anglického white hat, grey hat, black hat). Černí hackeři jsou lidé, kteří útočí na počítačové systémy za účelem krádeže dat či jiné nelegální činnosti. Jejich motivací je většinou finanční profit. Na druhé straně stojí bílí hackeři, kteří se snaží hledat bezpečnostní chyby a navrhovat vhodná opatření. Šedí hackeři provádějí svou činnost většinou pro zábavu či osobní slávu. Přestože nekradou data a nemají jiné špatné úmysly, vykonávají svou činnost bez souhlasu majitele systému, tudíž také nelegálně.

Rozlišení dle cílů a schopností

Bez ohledu na barevné rozlišení, které popisuji výše, můžeme hackery rozdělit do několika dalších kategorií, a to dle cíle jejich činnosti a schopností. Toto rozdělení jsem znázornil v grafu níže.

Zdroj: vlastní zpracování

Zde lze vidět cíl hackování v závislosti na schopnostech hackera. Do první kategorie spadají lidé, kteří hackují čistě ze zájmu. Jedná se především o nováčky v oboru, ale ve stejné kategorii můžeme nalézt také experty, kteří hledají bezpečnostní chyby ve vlastních systémech. Na druhé úrovni se nachází lidé, kteří dělají hacking pro osobní slávu. Do této kategorie spadají především šedí hackeři, jejichž cílem nejsou krádeže či jiné nelegální činnosti. Ve třetí kategorii se nachází lidé, kteří hackují pro finanční profit. Mimo klasické černé hackery se v této kategorii nachází také etičtí hackeři. Jejich finančním profitem je zde myšlena finanční odměna za vykonávanou činnost. V poslední kategorii jsou zde zobrazeni velmi schopní hackeři, kteří pracují na úrovni národní zájmu. To obvykle bývají špioni.

Jak může etický hacker pomoci se zabezpečením IT prostředí firmy?

Etický hacking je velmi rychle rostoucí obor. Firmy si čím dál víc uvědomují svou zranitelnost vůči útokům a čím dál častěji etický hacking využívají.

Výstupem takového etického hackingu je odhalení potenciální hrozeb, analýza a vyhodnocení rizik a návrh opatření minimalizující dopad těchto hrozeb. Přestože jsou dnešní technologie na vysoké úrovni, stále existují systémy a společnosti, u nichž odhalujeme velké množství potenciálně zneužitelných zranitelností. Vzpomeňte na množství kybernetických útoků, především na nemocniční zařízení, která v loňském roce prakticky paralyzovala jejich každodenní chod. Doba se mění a je skutečně velmi důležité pravidelně testovat zranitelnosti systémů společností a klást důraz na udržování a zefektivňování bezpečnostních opatření.