В публичном поле обсуждаются инициативы государственных органов, включая Минцифры России, по определению понятия “хакер” и созданию нормативной базы для легальной работы белых хакеров. Одновременно звучат предложения об ужесточении уголовной ответственности за хакерские действия, что уже выглядит как противоречие. Чтобы разобраться в этой коллизии, имеет смысл обратиться к сути самой деятельности, скрывающейся за этим термином.
Автор: Георгий Песчанских, д.э.н., к.ф.-м.н., профессор математики и ИТ, доцент кафедры специальных дисциплин
Человек, который умеет больше остальных, во все времена вызывал у обывателя тревогу. Когда-то им был шаман, способный призвать дождь, сегодня – хакер, умеющий добыть информацию там, где, казалось бы, все надежно закрыто. Отсюда и простое, почти инстинктивное решение: поставить таких людей под контроль, передать их в ведение спецслужб, чтобы они служили государству. А для тех, кто не согласится, предусмотреть жесткое наказание.
Однако хакеры не образуют однородную массу. Есть те, кого принято называть белыми хакерами, – они ищут уязвимости в информационных системах, чтобы слабые места не были использованы преступниками. Формально их действия нередко неотличимы от действий черных хакеров: те же приемы, те же инструменты, то же тестирование на проникновение. Различие заключается не в технике, а в цели. Черные хакеры ищут недоработки, чтобы извлечь из них выгоду и нанести ущерб. Белые – чтобы указать на проблему, закрыть брешь и тем самым предотвратить преступление. По сути, это две противостоящие стороны, занятые поиском одних и тех же уязвимостей, но движимые противоположными мотивами.
Совпадение инструментов часто становится поводом объединять их в одну категорию. Но отвертка одинаково подходит и для взлома замка, и для его установки, и для ремонта, при этом никому не приходит в голову объединять в одну группу квартирных грабителей и тех, кто ставит системы защиты. Общность инструмента не отменяет различия целей и ответственности.
Именно здесь возникает личная дилемма каждого высокопрофессионального специалиста: на какой стороне он окажется – на белой или на черной. Темная сторона обещает большие деньги и острые ощущения, но сопровождается высокими рисками и невозможностью открыто говорить о своих достижениях. Светлая сторона скромнее в доходах, зато дает законность, понятную карьерную траекторию и профессиональное признание без оглядки на уголовный кодекс.
А что в других сферах?
На время отложим разговор об информационной безопасности и посмотрим на смежные области, вдруг картина покажется нам показательной. Возьмем экономистов и финансистов высшей лиги. Их компетенции способны впечатлить и даже напугать: одни и те же знания позволяют как довести компанию до банкротства, так и защитить ее от агрессивных атак конкурентов. Тем не менее аудитор, приходящий в организацию для поиска слабых мест в финансовой системе, не воспринимается законодателем как фигура повышенного риска. Существующих норм права, включая положения УК РФ, считается вполне достаточно, и создавать специальные реестры аудиторов или вводить для них особый режим контроля никому не приходит в голову.
С хакерами (а по сути – аудиторами информационных систем) логика почему-то меняется. Для них предлагается ужесточать ответственность, вводить обязанность докладывать о найденных уязвимостях в ФСБ России и работать только после идентификации в специализированном реестре белых хакеров. При этом сам факт выявления уязвимости уже квалифицируется как инцидент информационной безопасности, сведения о котором должна получать работающая в стране ГосСОПКА. Специалисты, занимающиеся такой деятельностью, и без того находятся в поле зрения профильных органов, что делает дополнительное закручивание гаек скорее вопросом недоверия, чем реальной необходимости.
Почему именно белых хакеров так настойчиво пытаются взять под особый контроль? Здесь можно выделить как минимум две принципиальные особенности.
Первая связана с самим объектом их работы. И белые, и черные хакеры имеют дело с системами, доступными через Интернет. Эта доступность делает предмет их деятельности изначально более уязвимым. В финансовом аудите ситуация иная: компания сама предоставляет аудитору документы и данные, необходимые для анализа. Гипотетическому "черному аудитору", чтобы нанести вред, сначала пришлось бы решить куда более сложную задачу – получить доступ к материалам, особенно если с защитой информации у организации все в порядке. В цифровой среде входной барьер ниже, а потому и тревога регулятора выше.
Вторая причина – в системе подготовки. Финансовые аудиторы проходят понятный и длительный путь: обучение в вузе, работа по специальности, профессиональное становление в различных организациях. На протяжении этого пути они находятся в поле зрения преподавателей, наставников и коллег. Сама система образования и профессионального воспитания служит гарантией того, что из нее выходят в основном "белые" специалисты. Да, исключения бывают, но в целом эта модель изначально ориентирована на формирование законопослушных аудиторов.
А где обучают хакеров?
Возникает следующий закономерный вопрос: существует ли вообще система подготовки и воспитания белых хакеров, сопоставимая с той, что формирует белых аудиторов? И если да, на что она нацелена? Формально в стране действуют Федеральные государственные образовательные стандарты высшего образования по направлениям информационной безопасности. Они достаточно успешно готовят специалистов ИБ широкого профиля, однако далеко не полностью охватывают узкие и практико-ориентированные области [1]. Одна из таких зон – тестирование на проникновение. А именно представителей этого узкого и во многом обособленного сообщества и принято называть белыми хакерами.
В общественном сознании прочно укоренился образ хакера как высокоинтеллектуального самоучки, своего рода самородка, который благодаря личному опыту и упорству достиг мастерства в поиске уязвимостей. И в этом образе есть доля правды. Сегодня по сути не существует целостной, долгосрочной системы подготовки и воспитания специалистов по тестированию на проникновение, несмотря на устойчивый и растущий спрос на них со стороны рынка. Оставленные без понятных ориентиров, такие самородки нередко оказываются перед выбором, и отсутствие выстроенной образовательной траектории вполне может подтолкнуть их к темной стороне – просто потому, что белая сторона институционально не оформлена.
Этот пробел давно заметили в Ассоциации руководителей служб информационной безопасности. Под эгидой АРСИБ был создан школьный учебник для 10 –11 классов "Безопасность в информационном пространстве", а также развернута система многоуровневых и масштабных игр CTF [2] для школьников и студентов, направленных на практическое выявление уязвимостей. В ходе таких соревнований проявляются талантливые ребята, которых участники АРСИБ поддерживают в профессиональном развитии и помогают с трудоустройством в крупные компании и государственные структуры. Эти же компании обеспечивают финансовую устойчивость игр, одновременно присматриваясь к участникам как к потенциальным сотрудникам.
Что поправить в консерватории?
Почему за действительно сильными специалистами идут на игры CTF, а не в вузы, притом еще и на платной основе? Ответ на этот вопрос, по сути, уже был сформулирован. Во время Международной конференции "Путешествие в мир искусственного интеллекта" Президент Российской Федерации Владимир Путин отметил, что важно учить детей самостоятельно мыслить, а не просто нажимать кнопки [3]. Эта мысль точно описывает разрыв между формальной подготовкой и реальными требованиями профессии.
Именно самостоятельность мышления является ключевой компетенцией для специалистов по тестированию на проникновение. И именно ее целенаправленно формируют игры CTF, где нельзя действовать по шаблону, а приходится искать нестандартные решения, экспериментировать, ошибаться и делать выводы. Следовательно, отдельный, специализированный ФГОС ВО для таких специалистов должен быть изначально ориентирован не на воспроизведение знаний, а на развитие самостоятельного мышления. В логике сквозного образования аналогичные положения целесообразно закрепить и в ФГОС ООО, закладывая основы информационной безопасности еще на школьном уровне.
Сегодня при формировании перечня компетенций выпускников вузы вынуждены опираться не только на ФГОС ВО, но и на реестр профессиональных стандартов Минтруда России. Однако существующие коды профессий в целом относятся к деятельности в сфере ИБ и слабо описывают специфику специалистов по тестированию на проникновение. В результате университетам попросту не на что опереться при проектировании образовательных программ.
Логичный выход из этой ситуации очевиден: сначала необходимо нормативно создать профессию "специалист ИБ по проведению тестов на проникновение", включить ее в реестр профессиональных стандартов Минтруда России и лишь после этого разрабатывать профильный ФГОС ВО. Только так вузы смогут четко понимать, кого и чему они учат. Пока же вместо системной работы по оформлению профессии в публичном поле активно обсуждается ужесточение уголовной ответственности для представителей этой, по сути, еще не оформленной и нормативно не существующей специальности.
Выводы
Подводя итог, можно сформулировать несколько принципиальных выводов.
- Стоит отказаться от звучных, но размытых обозначений. Термин "белый хакер" больше апеллирует к мифологии, чем к сути деятельности. Гораздо точнее говорить о "специалисте ИБ по проведению тестов на проникновение" – в этом названии меньше пафоса и больше профессионального смысла, четко описывающего содержание работы.
- Деятельность такого специалиста должна быть нормативно описана через профессиональный стандарт и внесена в реестр Минтруда России. Это позволит уйти от догадок и субъективных трактовок и оперировать документально закрепленным перечнем функций и целей, ради которых ведется эта работа.
- Появление профессионального стандарта сделает возможной разработку профильного ФГОС ВО для подготовки специалистов по тестированию на проникновение, а также корректировку ФГОС ООО с включением базовых положений по информационной безопасности. Прикладной характер профессии требует соответствующей педагогики: меньше лекций и пересказов, больше самостоятельного поиска знаний и практической работы. Специалист по тестированию на проникновение по определению должен уметь находить нужную информацию и осваивать ее самостоятельно, а практические занятия становятся одновременно и обучением, и проверкой усвоенных навыков. Логично также заложить во ФГОС ВО игровые формы обучения: сама профессия строится на противоборстве, поиске уязвимостей и их устранении. Изобретать новые форматы нет необходимости – игры CTF уже доказали свою эффективность. Важно встроить подготовку к ним в образовательные программы вузов, вплоть до проведения внутривузовских CTF и учета их результатов в итоговой оценке обучающихся.
- Вопрос ответственности должен решаться после, а не до нормативного оформления профессии. При наличии профессионального стандарта все, кто действует в его рамках, должны рассматриваться как законопослушные специалисты. Те же, кто выходит за пределы стандарта или нарушает требования законодательства, автоматически переходят в категорию злоумышленников и подлежат ответственности.
Таким образом, проблема заключается не в недостатке уголовно-правовых норм для наказания нарушителей, а в отсутствии четкого определения самой профессии. Пока не зафиксированы ее границы, функции и цели, неизбежно возникает неопределенность – в том числе и в отношении того, кого именно предлагается наказывать. Именно поэтому дискуссия об ужесточении ответственности тянется годами.
Ответ на вопрос, кто такой хакер и какими знаниями и навыками он должен обладать, логично и правильно давать не в Уголовном кодексе, а в образовательных и профессиональных стандартах. Пора снять с этого слова пелену тумана и, наконец, сделать востребованную профессию легальной и понятной.
- Например, ФГОС ВО "Бакалавриат по направлению подготовки 10.03.01 – Информационная безопасность".