Тёмная сторона белого хакерства: кому специалисты кибербезопасности могут помогать, а кому не стоит?

Участившиеся в последнее время случаи использования различных хакерских инструментов для наблюдения за «неугодными» лицами и объединениями поднимает фундаментальные этические и моральные вопросы перед так называемыми «белыми хакерами», чья деятельность по разработке и даже применению инструментов для взлома и шпионажа зачастую вполне законна и может использоваться для помощи правительству тех или иных стран.

NSO Group как яркий пример неэтичного отношения к кибербезопасности

Израильская компания NSO Group, чьи специалисты занимаются разработкой и практическим применением разнообразных хакерских инструментов на заказ, утверждает, что её продукты предназначены в первую очередь для оказания помощи правительствам разных стран в борьбе с терроризмом и преступностью. Однако периодически всплывают доказательства того, что технологии компании регулярно используется в том числе и для нападения на журналистов, активистов и политических диссидентов. То есть, даже если разработанные компанией хакерские инструменты используются властями и правоохранителями, зона их действия явно выходит за противодействие терроризму и прочим благим намерениям.

Отчёт Citizen Lab, выпущенный в сотрудничестве с мексиканской организацией по защите цифровых прав R3D (Red en Defensa de los Derechos Digitales), выявил ряд случаев заражения Pegasus, нацеленных на журналистов и правозащитников в период с 2019 по 2021 год. Среди жертв были два журналиста, которые сообщали о коррупции в органах власти, а также один известный правозащитник.

Мексиканский оппозиционер Агустин Басаве Аланис также был заражен шпионским ПО Pegasus в 2021 году. Эти заражения произошли спустя годы после первых разоблачений злоупотреблений Pegasus в Мексике, несмотря на неоднократные заверения нынешнего президента, что правительство больше не использует подобные методы, а дальнейшие злоупотребление шпионским ПО исключены.

Ранее также сообщалось о неправомерном использовании Pegasus государственными акторами на палестинских территориях, нацеленными на правозащитные организации в Бахрейне и множество других групп.

И проблема здесь не столько в самих хакерских инструментах, сколько в их продаже правительственным силам и применении не по назначению.

Одной из основных этических проблем при продаже хакерских инструментов правительствам является вопрос контроля. А отсутствие прозрачности в продаже, как и отсутствие международной нормативной базы — лишь усугубляют проблему, позволяя правительствам разных стран безнаказанно использовать хакерские инструменты в злонамеренных целях.

Этический баланс и потенциальная ответственность

Продажа хакерских инструментов вызывает многочисленные моральные и этические вопросы у белых хакеров. С одной стороны, эти инструменты действительно могут использоваться тем же правительством и правоохранительными органами в законных целях, таких как борьба с терроризмом или выслеживание преступников. Тем не менее, потенциал для неправильного использования также огромен, особенно когда эти инструменты продаются тем странам, в послужном списке которых уже бывали случаи нарушения прав человека.

Более того, использование хакерских инструментов в целях шпионажа поднимает вопросы о балансе между национальной безопасностью и личной неприкосновенностью. В мире, где правительства все чаще прибегают к цифровому наблюдению для мониторинга и контроля за своим населением, белые хакеры и прочие IT-специалисты должны учитывать этические последствия своей работы и то, не поспособствуют ли их услуги ущемлению гражданских свобод.

Специалисты также должны быть осведомлены о юридических последствиях своих действий, поскольку они могут столкнуться с возможной ответственностью за содействие клиентам, которые используют их услуги для незаконной деятельности. Так, в некоторых юрисдикциях оказание помощи, даже косвенной, отдельным лицам или организациям, занимающимся преступной деятельностью, может повлечь за собой суровые наказания, включая штрафы и тюремное заключение.

Чтобы снизить все эти риски, специалистам, оказывающим подобные услуги, следует разработать строгие процедуры проверки клиентов и поддерживать строгие этические стандарты в своей работе.

Мотивация клиентов

Компаниям, оказывающим услуги в сфере компьютерной безопасности, крайне важно понимать и оценивать причины, по которым их клиенты хотят развить свои наступательные возможности. Существует несколько сомнительных с этической точки зрения причин, по которым клиенты могут обращаться за этими услугами. Вряд ли потенциальный клиент скажет об этих причинах напрямую, поэтому уловить контекст — важная задача, лежащая на плечах организаций, оказывающих подобные услуги.

Политические репрессии: правительства могут использовать хакерские инструменты для наблюдения и подавления оппозиционных групп, что приводит к нарушениям прав человека и гражданских свобод.

Корпоративный шпионаж: частные компании могут заниматься кибершпионажем с целью кражи коммерческих секретов, интеллектуальной собственности или другой конфиденциальной информации у конкурентов.

Кибервойна: государственные субъекты могут использовать хакерские инструменты как часть своей более широкой военной стратегии, потенциально нанося сопутствующий ущерб и нарушая международное право.

Шантаж и вымогательство: преступные группы или отдельные лица могут использовать хакерские инструменты для сбора конфиденциальной информации в целях шантажа или вымогательства.

Кампании по дезинформации: государственные или негосударственные субъекты могут использовать хакерские инструменты для распространения ложной информации, манипулирования общественным мнением или подрыва доверия к общественным институтам.

В свете этих потенциальных мотиваций специалисты по информационной безопасности должны разработать стратегии проверки клиентов и их намерений, чтобы убедиться, что их услуги не используются в неблаговидных целях.

Искусственный интеллект

Разработка инструментов искусственного интеллекта в индустрии кибербезопасности добавляет ещё один уровень сложности к этическим соображениям. Эти инструменты часто основаны на алгоритмах машинного обучения, которые могут быть непрозрачными в своей функциональности и процессах принятия решений. В результате, разработчики могут не до конца понимать, как работают их инструменты, какие искажения могут привнесены в их функциональность, и как конкретно эти инструменты будут использоваться клиентами.

Заключение

Продажа хакерских инструментов вызывает множество этических, моральных и юридических проблем у специалистов в области кибербезопасности. Потенциал неправомерного использования таких инструментов весьма значителен, а последствия могут быть ужасными для личной жизни и гражданских свобод.

Чтобы ориентироваться в этом сложном ландшафте, специалисты по безопасности должны разрабатывать стратегии проверки клиентов и их намерений, соблюдать строгие этические стандарты и быть осведомленными о юридических последствиях своих действий. Кроме того, рост популярности инструментов искусственного интеллекта в отрасли требует повышения прозрачности и сотрудничества для обеспечения ответственного использования этих инструментов в соответствии с международными нормами.

В конечном счёте, ответственность за то, чтобы те или иные услуги способствовали созданию более безопасной цифровой среды, а не усугубляли существующее неравенство и несправедливость, лежит именно на специалистах по информационной безопасности.