Računalništvo, telefonija
14.03.2020 08:00

Deli z drugimi:

Share

Etični heker (White Hat) in GDPR

.. Poklic prihodnost s pomembno vlogo v GDPR. O njegovem pomenu tudi z etičnim hekerjem številka 1 v Evropi ..
Etični heker (White Hat) in GDPR
Etični heker (White Hat) in GDPR

Če boste po spletu iskali defincijo etičnega hekerja, boste našli kar nekaj različnih definicij. Vsem pa je skupno, da etični heker dela po naročilu naročnika (v primeru GDPR upravljavca osebnih podatkov), v skladu s pravili stroke informacijske varnosti, predvsem pa, da ne poskuša vdirati v podjetja na lastno pest. S slednjim se sicer ne strinjajo vsi, vendar je treba po drugi strani vedeti, da je lahko tudi dobronamerno hekanje po slovenskem Kazenskem zakoniku šteto kot kaznivo dejanje (in v tem primeru ga slovensko pravo vidi kot black hat). In besedica »etični« poleg hekerja ni kar tako. Kaj je etika v hekanju, je včasih sicer težko ugotoviti in definicije vsebujejo več elementov, vendar je z vidika GDPR eden osnovnih poudarkov, da etični heker podatkov, ki jih je o organizaciji dobil med penetracijskim testom oziroma hekanjem, ne uporablja za noben drug namen razen tistega, ki je določen v dogovoru z naročnikom. Seveda tudi, da svojih ugotovitev ne deli s širšo javnostjo, mediji ali nadzornimi organi. V besedo »etično« sami vstavljamo tudi izobraževanja, prakso in redno spremljanje varnostnih dogodkov. V primeru, da se heker ne izobražuje, verjetno tudi ni etično, da svetuje drugim.

Najbolj znani etični heker?

Verjetno najbolj znani etični heker je Kevin Mitnick, ki je svojo »kariero« začel kot black hat heker in besedo “etični” dodal šele po odsluženi zaporni kazni. Kevin je v začetku svoje kariere množično uporabljal socialni inženiring in podatke, ki jih je uspel dobiti na ta način, uporabljal za nadaljnje vdore v sisteme. To, kar se je izkazalo in kar danes v obliki predavatelja rad poudarja je, da je socialni inženiring (skupaj z vsemi svojimi oblikami) izjemno nevaren za varnost podatkov. Prav ljudje smo namreč tisti, ki smo bistveno občutljivejši na manipulacijo kot strojna ali programska oprema. Če namreč nekdo razkrije geslo, potem je seveda dostop do podatkov tako enostaven, kot je vstop vlomilcu v vaš dom, če greste na počitnice, ključ pa pustite pod predpražnikom.

Vzpenjajoča se zvezda etičnega hekanja in trenutno najboljši etični heker v Evropi pa je Jamie Woodruff, ki 24. aprila letos prihaja v Slovenijo kot govorec na 6. Dnevih prava zasebnosti in varovanja informacij (Privacy Days). Jamie je postal znan, ko je v okviru študentskega tekmovanja vdrl v Facebook. Odtlej je odkril varnostne luknje v številnih odmevnih sistemih, vključno s spletnim mestom Kim Kardashian, za katerega je ugotovil, da resno ogroža osebne podatke njenih oboževalcev. Jamie govori o pomenu varnosti sistemov in omrežij ter je znan po tem, da razkriva izkoriščanja in ranljivosti po vsem svetu v vodilnih varnostnih aplikacijah, kot so Facebook, YouTube, Twitter, Apple in Google. Poznan je primer, ko se je v veliki finančni ustanovi lažno predstavil kot dostavljavec pizze in s pomočjo vdora v ključavnice pridobil dostop do njihove strežniške sobe. Seveda z dovoljenjem vodstva podjetja. Predstavil bo tudi nekaj svojih praktičnih trikov.

Etični heking in GDPR

Vsak sistem je samo toliko odporen, kot je odporen njegov najšibkejši člen. In prav vsak sistem ima svoje pomanjkljivosti. Prav zato etični hekerji postajajo nepogrešljivi tudi na področju varstva osebnih podatkov, saj so se zahteve po varnosti osebnih podatkov še bolj približale standardu ISO/IEC27001, ki vključuje tudi spremljanje dogodkov in odpravljanje ugotovljenih nepravilnosti. Tu nastopi etični heker, ki vam pomaga odkriti luknje v sistemih. In, ker se vedno več (osebnih) podatkov obdeluje v e-oblikah, etični heker postaja vedno bolj zaželen profil in poklic prihodnosti (poleg seveda CISO). Samo na področju informacijske varnosti bo namreč v nekaj letih primanjkovalo na 100-tisoče tovrstnih profilov.

Nekateri celo ocenjujejo, da bi vsaka velika organizacija, ki obdeluje veliko osebnih podatkov, morala imeti zaposlenega ali CISO ali etičnega hekerja. S takšnim stališčem se seveda z lahkoto strinjamo, saj v praksi pogosto ugotovimo, da so znanja informacijske varnosti vendarle nekoliko bolj specifična kot splošna IT izobrazba.

Več na www.info-hisa.si (P.R.)


Prijavi napako v članku

Partnerji Računalniških novic Prikaži vse

ZwCAD SLOVENIA

Prečna 9b, 2000 Maribor, Tel: 02 471 12 40
ZwCAD Slovenia pod okriljem podjetja Birocom 2000 d.o.o. ponuja rešitve na področju CAD, CAD/CAM in CAE programske (in strojne) opreme. Več

OMREŽJE d.o.o.

Borovec 2, 1236 Trzin, Tel: 01 810 02 10
Združite vse na eni položnici in prihranite denar Ali še vedno plačujete storitve interneta, televizije ter fiksne in mobilne telefonije ločeno? Zagotovo ste že kdaj pomislili, ... Več

MVM SERVIS d.o.o.

Na trgu 28, 3330 Mozirje, Tel: 031 611 116
MVM SERVIS, spletne in grafične storitve, d. o. o. je podjetje, specializirano za celovito ponudbo kreativnih grafičnih rešitev na ključ. Od konkurence jih ločuje popolnoma lastna ... Več

Računalniške storitve mITch, Mitja Mihelič s.p.

Čolnarska ulica 3, 1310 Ribnica, Tel: 05 125 8575, 051 258 575
Ali vaše podjetje potrebuje oddelek za IT? Nekoč dostopne le za velike korporacije, danes so IT funkcije na voljo podjetjem vseh velikosti po zaslugi računalništva v oblaku in ... Več