Хотим мы того или нет, вокруг нас всё больше сложной техники. Она окружает нас в быту, на работе, на улице, попросту — везде и всегда. И конечно, находятся люди, которые любят в технике ковыряться, отыскивая «слабые места».

Обычно мы считаем всех их хулиганами, а если последствия их вторжения в работу того или иного устройства тяжёлые, то и преступниками. Однако важно понимать, что есть среди таких «любопытных» особая категория лиц, никогда не использующих свои знания и интерес в ущерб другим. Мотивы, ими движущие, порой кажутся странными, но поддерживая таких людей (их принято называть «белыми хакерами» — не в смысле «белых ворон», а в том смысле, что вреда они не причиняют), мы можем облегчить жизнь и работу обществу, бизнесу, органам власти. И сегодня давайте поговорим о том, как правильно с белыми хакерами обращаться.

А чтобы сделать рассказ наглядным, позвольте привести пример из жизни. На днях в Венгрии некий 18-летний паренёк обнаружил забавную ошибку на сайте транспортного управления города Будапешт. Оказывается, проделав ряд элементарных операций в браузере, можно заставить сайт продать любой билет почти задаром. Ради пробы автор открытия приобрёл себе один такой билетик, но потом немедленно сообщил всё, что ему известно, тому же самому Управлению.

Это кадр из другой истории (невьянский школьник критикует ремонт дороги, читайте далее), но аналогии прозрачные: если человек помог вам, сообщив о неогороженной яме на дороге, как правильно такой информацией распорядиться? И кого наказать? Неужели автора находки?!
Он не пытался воспользоваться билетом (да даже никогда в Будапеште и не бывал), не пытался вымогать у транспортников премию за раскрытие информации, тем более не пытался продать информацию об ошибке посторонним лицам. И это очень характерно для белого хакера — которым наш герой по сути и является. Давайте рассмотрим другие его типичные черты:

- белый хакер руководствуется бескорыстными соображениями. Обычно ему не платят за то, что он изучает «изнанку» какого-то устройства, системы, программы. Он делает это исключительно из желания применить свои знания и углубить их. Ну и, возможно, чтобы получить моральное удовлетворение от осознания того, что понимает технику лучше большинства других её пользователей.

- белый хакер быстро сообщает все сведения о найденных ошибках тем лицам, которые отвечают за обслуживание техники. Он не ищет славы и поэтому не обнародует имеющуюся информацию вовсе, либо до тех пор, пока ошибка не будет устранена, а значит, предание её огласке не причинит никому вреда.

- белый хакер принципиально не использует полученную информацию к собственной выгоде, потому что понимает, что тем самым навредит.

- в итоге белый хакер экономит время и силы людей, сопровождающих технику, и повышает безопасность людей, которые этой техникой пользуются. Благодарите судьбу, что ошибку обнаружил он, а не злоумышленники! Теперь у владельцев есть время, чтобы ошибку устранить и сделать это без перебоев в работе.

- белый хакер вскрывает и недостатки организационной структуры. Система продажи билетов в Будапеште якобы многократно подвергалась проверке компетентными специалистами. Но теперь можно утверждать наверняка, что к своей работе эти «специалисты» относились наплевательски! И значит, деньги налогоплательщиков тратились неэффективно.

Суммируя сказанное выше, можно сформулировать правильное отношение общества, бизнеса и власти к белым хакерам:

- во-первых, не вздумайте наказывать таких людей! Да, расследовать случившееся нужно, но любые подозрения и обвинения стоит высказывать в последнюю очередь, только когда станет ясно, что перед вам не белый, а чёрный хакер, то есть злоумышленник. Наказать же белого — всё равно что наказать человека, который первым обнаружил яму на тротуаре: вы не только не исправите проблему (кто на самом деле виноват, что яма появилась? Неужели человек, её нашедший?!), но и отпугнёте тех, кто жертвует своим временем ради помощи обществу.

- во-вторых, необходимо наладить контакт с белыми хакерами. Каждая компания, каждая организация должны иметь каналы связи, по которым к ним могла бы поступать подобная информация: контакт в соцсетях, адрес электронной почты, телефонный номер в конце концов. Сведения от белых хакеров лучше не разглашать преждевременно (во избежание пустой паники, происков злоумышленников и пр.), а придержать до момента, когда ошибка/проблема будет устранена.

- в-третьих, стоит назначить премии за обнаружение ошибок. В компьютерной индустрии, например, это распространённая практика: крупные компании платят за нахождение проблем в их программах и компьютерных системах. Так выходит дешевле, нежели ждать, пока ошибку найдут злоумышленники — и придётся платить за выпуск срочных обновлений, восстановление имиджа, расследование и ремонт, и т.п.

Что ж, после такого вы, вероятно, думаете, что талантливому венгру в знак благодарности вручили бессрочный проездной? Увы. Печальная правда: транспортники заявили на него в полицию, представив произошедшее как компьютерный взлом, и парня арестовали прямо посреди ночи. И это, к сожалению, тоже типично.

О том, чью сторону в споре заняла общественность, живо свидетельствует вот эта картинка. Это официальная страница того самого Управления в «Фейсбуке»: узнав, что пацана арестовали, десятки тысяч горожан поставили Управлению оценку «кол»!
Увы, ни публика, ни бизнес, ни власть часто не понимают того блага, которое им способны принести белые хакеры (и в последние годы даже наметилась тенденция к ухудшению). Хочется верить, в Будапеште разберутся, но вы — помните, что если человек пришёл к вам с информацией сам, его стоит отблагодарить, а не преследовать! Потому что в противном случае в следующий раз ни он, ни ему подобные к вам уже не придут и всем будет только хуже.

Последний совет: смотрите на белое хакерство шире. Пусть вас не смущает словечко из компьютерного лексикона! На самом деле белые хакеры — суть, гражданские активисты и проявить себя они могут не только за клавиатурой. Повторюсь, нас окружает всё более сложная техника и, конечно, слабые места в ней есть и будут.

Хороший случай — который пусть послужит проверочным заданием — произошёл на днях в российском Невьянске. Там местный школьник, благоразумно пожелавший не раскрывать свою личность, заснял на телефон ремонт дороги — и высказал некоторые замечания: в частности, предположил, что шлак вместо щебня используется по причине дешевизны и в ущерб качеству, а деньги, выделенные на ремонт, оседают сами знаете где. Что дальше? Ролик разлетелся по соцсетям, а мальчугана... натурально объявили в розыск!

Так вот проверьте себя. Как следовало правильно отреагировать на такую информацию? Ответы ищите ниже.













1 Вне зависимости от того, действительно ли шлак не годится на замену щебню, провести срочную проверку силами независимых специалистов. Немедленно устранить вскрытые нарушения (как минимум огородить ямы).

2 Результаты проверки обнародовать, дав ясно понять, что это ответ на критические замечания со стороны горожан.

3 Вынести школьнику благодарность за активную гражданскую позицию, вне зависимости от результатов проверки.

4 Если обвинения подтвердятся, выплатить школьнику премию. Он волен её забрать (раскрыв тем самым свою личность) или нет, но это стимулирует гражданский контроль в городе.

Если вам понравилась статья - порекомендуйте ее своим друзьям, знакомым или коллегам, имеющим отношение к муниципальной или государственной службе. Нам кажется, что им это будет и полезно, и приятно.
При перепечатке материалов обязательна ссылка на первоисточник.