道德黑客可以幫助防止惡意黑客的攻擊

道德黑客通過在惡意用戶找到安全漏洞之前找到安全漏洞，為組織帶來價值。他們被尊重地看待是很自然的。然而，事情并不像看起來那么簡單。道德黑客可能會受到法律訴訟，即使他們破壞善意的系統(tǒng)。

如果組織要求，道德黑客行為被認為是可以接受的。但即便如此，它也不會使這種黑客行為免于法律訴訟。最不穩(wěn)定的是那些闖入未經(jīng)請求但有良好意圖的系統(tǒng)的黑客的立場。管理道德黑客的法律目前不充分且含糊不清。道德黑客的法律保護問題需要得到認真關注。需要確定工作范圍和其他法律規(guī)定。

什么是道德黑客?

所謂的道德黑客攻擊是指為了發(fā)現(xiàn)安全問題而進入系統(tǒng)的做法，但沒有任何惡意。道德黑客傾向于讓系統(tǒng)中的所有者或利益相關者知道他們的發(fā)現(xiàn)。道德黑客可以通過征求或未經(jīng)請求的方式開展工作。組織正式請求黑客測試他們的系統(tǒng)，這種安排稱為滲透測試。黑客測試系統(tǒng)并通常在工作結束時提供報告。另一方面，未經(jīng)請求的黑客出于各種原因測試系統(tǒng)。對于黑客而言，被請求的黑客攻擊可能比未經(jīng)請求的黑客攻擊更危險，主要是因為未經(jīng)請求的黑客缺乏正式批準。(了解黑客入侵的5個原因，有關黑客攻擊的積極方面的更多信息。)

道德黑客行為是一種有益的預防性做法，經(jīng)常被征求意見。但是，道德黑客行為仍可能導致許多不同的問題。例如，此類黑客仍然可以允許惡意意圖在某個階段接管，而缺乏法律協(xié)議可能會導致混亂的情況。

道德黑客與法律 - 案例研究

從表面上看，道德黑客似乎是一種善意的做法，只能引起贊美和感激 - 這種情況并非總是如此。2013年，荷蘭議會議員(MP)面臨法律訴訟，指出醫(yī)療中心網(wǎng)站存在安全漏洞。國會議員已使用公開的證書登錄醫(yī)療中心網(wǎng)站并偶然發(fā)生嚴重的安全問題。當國會議員將他的調查結果公之于眾時，醫(yī)療中心對他提出了法律指控。這一事件引發(fā)了許多關于道德黑客攻擊的不同問題。國會議員不是專業(yè)黑客 - 遠非如此，他甚至都不懂電腦。他使用互聯(lián)網(wǎng)上提供的憑據(jù)訪問了該網(wǎng)站，并無意中獲得了對機密記錄的訪問權限。為了讓醫(yī)療中心了解他的發(fā)現(xiàn)，他必須經(jīng)歷一個官僚程序。在評估形勢的緊迫性時，他通過媒體了解消息?？赡芸雌饋砑扔腥び滞髫摿x，而不是承認他的意見并感謝他指出安全漏洞，醫(yī)療中心決定起訴他。顯然，有很多關于道德黑客攻擊需要解決的問題。為了愛黑客。)

道德黑客真的是道德的嗎?

從表面上看，道德黑客行為是一種有益于組織的道德行為。有許多黑客被征求或未經(jīng)請求，在有意圖的其他人找到它們之前，已經(jīng)在系統(tǒng)中發(fā)現(xiàn)了安全漏洞。大多數(shù)組織在內部或通過雇用專門的黑客來實施道德黑客攻擊。但是，軟件安全性是一個龐大而復雜的領域，內部測試可能并不總能揭示所有缺陷，尤其是在處理敏感數(shù)據(jù)(如財務或國防數(shù)據(jù))的大型復雜應用程序的情況下。在這種情況下，您需要專門的黑客來發(fā)現(xiàn)安全漏洞。話雖如此，黑客決定了黑客的道德規(guī)范。要理解這一點，請考慮以下問題：

如果道德黑客在黑客工作過程中執(zhí)行不道德的行為會怎樣?例如，如果荷蘭議員出售機密數(shù)據(jù)而不是指出安全漏洞怎么辦?

被請求的黑客可能會超出工作范圍并冒險進入根據(jù)協(xié)議不允許的軟件部分。

上述情景并非超出可能性范圍，它們?yōu)槲覀兲峁┝藦娪辛Φ睦碛蓙韺嵤娪辛Φ姆煽蚣軄砉芾淼赖潞诳托袨椤?/p>

道德黑客是否需要法律保護?

毫無疑問，道德黑客攻擊對組織有益。不需要為道德黑客提供法律保護，而是需要通過定義雙方工作范圍，角色和責任的重點法律。法律應解決以下問題：

道德黑客的定義

道德黑客行為只有在正式征集時才能完成嗎?即便如此，未經(jīng)請求的黑客攻擊也會有很多機會。如何看待未經(jīng)請求的黑客行為?

只有黑客和組織之間的正式和詳細協(xié)議才會被視為被請求的黑客行為。該協(xié)議應從更廣泛的法律框架中獲得內容。

時間是解決安全漏洞的關鍵因素。當發(fā)現(xiàn)安全漏洞時，可能需要立即修復以防止未經(jīng)授權的破壞。每個組織是否都會迅速接受問題描述和必要的行動?官僚程序可能會拖延行動，并為未經(jīng)授權的黑客留下空缺。未經(jīng)請求的黑客是否會受到懲罰，如果他們繞過官僚程序并使用像荷蘭議員那樣的其他信息渠道?

黑客和組織之間的法律協(xié)議應明確說明道德黑客的工作范圍。

對被請求者和未經(jīng)請求的黑客的賠償和獎勵的定義

如果未經(jīng)請求的黑客濫用安全漏洞，您如何解決問題?

結論

如果使用得當，道德黑客具有巨大的積極潛力。可能面臨的最大挑戰(zhàn)之一是主觀解釋。因此，有必要建立一個客觀，全面和明確的法律框架。該框架應該在黑客和組織不受約束的權力之間取得平衡。太多的權力可能是災難性的，因為它可能會對系統(tǒng)或黑客的信心或意圖造成嚴重破壞。與此同時，道德黑客社區(qū)也可能考慮在法律框架之外實施自我強加的行為準則。