Журнал "Information Security/ Информационная безопасность" #6, 2025

Человек, который умеет больше остальных, во все времена вызывал у обывателя тревогу. Когда-то им был шаман, способный призвать дождь, сегодня – хакер, умеющий добыть информацию там, где, казалось бы, все надежно закрыто. Отсюда и про- стое, почти инстинктивное решение: поставить таких людей под контроль, передать их в ведение спецслужб, чтобы они служили государству. А для тех, кто не согласится, предусмотреть жесткое наказание. Однако хакеры не образуют однород- ную массу. Есть те, кого принято назы- вать белыми хакерами, – они ищут уязви- мости в информационных системах, чтобы слабые места не были использо- ваны преступниками. Формально их дей- ствия нередко неотличимы от действий черных хакеров: те же приемы, те же инструменты, то же тестирование на проникновение. Различие заключается не в технике, а в цели. Черные хакеры ищут недоработки, чтобы извлечь из них выгоду и нанести ущерб. Белые – чтобы указать на проблему, закрыть брешь и тем самым предотвратить пре- ступление. По сути, это две противо- стоящие стороны, занятые поиском одних и тех же уязвимостей, но движимые про- тивоположными мотивами. Совпадение инструментов часто ста- новится поводом объединять их в одну категорию. Но отвертка одинаково под- ходит и для взлома замка, и для его установки, и для ремонта, при этом никому не приходит в голову объединять в одну группу квартирных грабителей и тех, кто ставит системы защиты. Общ- ность инструмента не отменяет различия целей и ответственности. Именно здесь возникает личная дилем- ма каждого высокопрофессионального специалиста: на какой стороне он ока- жется – на белой или на черной. Темная сторона обещает большие деньги и ост- рые ощущения, но сопровождается высо- кими рисками и невозможностью открыто говорить о своих достижениях. Светлая сторона скромнее в доходах, зато дает законность, понятную карьерную траек- торию и профессиональное признание без оглядки на уголовный кодекс. А что в других сферах? На время отложим разговор об инфор- мационной безопасности и посмотрим на смежные области, вдруг картина покажется нам показательной. Возьмем экономистов и финансистов высшей лиги. Их компетенции способны впечат- лить и даже напугать: одни и те же зна- ния позволяют как довести компанию до банкротства, так и защитить ее от агрессивных атак конкурентов. Тем не менее аудитор, приходящий в организа- цию для поиска слабых мест в финансо- вой системе, не воспринимается зако- нодателем как фигура повышенного риска. Существующих норм права, вклю- чая положения УК РФ, считается вполне достаточно, и создавать специальные реестры аудиторов или вводить для них особый режим контроля никому не при- ходит в голову. С хакерами (а по сути – аудиторами информационных систем) логика поче- му-то меняется. Для них предлагается ужесточать ответственность, вводить обязанность докладывать о найденных уязвимостях в ФСБ России и работать только после идентификации в специа- лизированном реестре белых хакеров. При этом сам факт выявления уязвимо- сти уже квалифицируется как инцидент информационной безопасности, сведе- ния о котором должна получать рабо- тающая в стране ГосСОПКА. Специали- сты, занимающиеся такой деятель- ностью, и без того находятся в поле зре- ния профильных органов, что делает дополнительное закручивание гаек ско- рее вопросом недоверия, чем реальной необходимости. Почему именно белых хакеров так настойчиво пытаются взять под особый контроль? Здесь можно выделить как минимум две принципиальные особенно- сти. Первая связана с самим объектом их работы. И белые, и черные хакеры имеют дело с системами, доступными через Интернет. Эта доступность делает пред- мет их деятельности изначально более уязвимым. В финансовом аудите ситуа- ция иная: компания сама предоставляет аудитору документы и данные, необхо- димые для анализа. Гипотетическому "черному аудитору", чтобы нанести вред, сначала пришлось бы решить куда более сложную задачу – получить доступ к материалам, особенно если с защитой информации у организации все в порядке. В цифровой среде входной барьер ниже, а потому и тревога регулятора выше. Вторая причина – в системе подготов- ки. Финансовые аудиторы проходят понятный и длительный путь: обучение в вузе, работа по специальности, про- фессиональное становление в различ- ных организациях. На протяжении этого пути они находятся в поле зрения пре- подавателей, наставников и коллег. Сама система образования и профес- сионального воспитания служит гаран- тией того, что из нее выходят в основном "белые" специалисты. Да, исключения бывают, но в целом эта модель изна- чально ориентирована на формирование законопослушных аудиторов. А где обучают хакеров? Возникает следующий закономерный вопрос: существует ли вообще система подготовки и воспитания белых хакеров, 68 • СПЕЦПРОЕКТ Белый хакер: профессии нет, ответственность есть публичном поле обсуждаются инициативы государственных органов, включая Минцифры России, по определению поня- тия “хакер” и созданию нормативной базы для легальной работы белых хакеров. Одновременно звучат предложения об ужесточении уголовной ответственности за хакерские дей- ствия, что уже выглядит как противоречие. Чтобы разобрать- ся в этой коллизии, имеет смысл обратиться к сути самой деятельности, скрывающейся за этим термином. В Георгий Песчанских, д.э.н., к.ф.-м.н., профессор математики и ИТ, доцент кафедры специальных дисциплин Фото: Г. Песчанских