JUDr. Michal Rampášek je advokát spolupracujúci s advokátskou kanceláriou WISE3. Vo svojej praxi sa venuje najmä právu IKT, trestnému právu, kybernetickej bezpečnosti a ochrane osobných údajov. Je členom pracovnej skupiny SAK pre elektronizáciu výkonu advokácie a Asociácie kybernetickej bezpečnosti.
Etickí hackeri využívajú svoje znalosti na zlepšenie kybernetickej bezpečnosti produktov, služieb a informačných systémov. Často však musia čeliť hrozbe trestného stíhania, pretože nie vždy sa stretnú s pochopením, čo môže viesť k odradeniu od oznamovania zraniteľností. Medzinárodné normy v oblasti informačnej bezpečnosti, ako aj pripravovaná európska smernica NIS 2 vedú prevádzkovateľov informačných systémov v súkromnom aj verejnom sektore k tomu, aby urobili aktívne kroky pre prijímanie správ o zraniteľnostiach, koordinovali postup s oznamovateľmi - etickými hackermi a po prijatí nápravy zverejnili nájdenú zraniteľnosť. Tieto skutočnosti povedú jednak k motivovaniu etických hackerov odhaľovať a oznamovať zraniteľnosti, k zlepšeniu kybernetickej bezpečnosti produktov, služieb a informačných systémov, ale v neposlednom rade aj k minimalizácii rizika trestného stíhania etických hackerov. Ochranu etických hackerov by malo priniesť aj doplnenie Trestného zákona o podmienky beztrestnosti pri skutkových podstatách tzv. počítačových trestných činov a aplikácia procesného inštitútu súhlasu poškodeného podľa § 211 Trestného poriadku.
Úvod
Hacking je spravidla spájaný s prienikom do informačných systémov so zlým úmyslom. Takáto forma hackingu je v zásade trestná. Existuje však aj hacking s dobrým úmyslom, takzvaný etický hacking (známe aj pod anglickým pojmom white hat hacking). Etickí hackeri nachádzajú zraniteľné miesta v produktoch, službách a informačných systémoch a odlišujú sa (od black hat hackerov) tým, že ich nezneužívajú, ale nahlasujú zraniteľnosti priamo správcovi systému.
Etický hacking v praxi prebieha v zásade v dvoch formách.
V prvom prípade sa tak deje na základe písomnej zmluvy medzi organizáciou ako objednávateľom služieb a hackerom, resp. spoločnosťou, ktorá poskytuje služby penetračného testovania. Najčastejšie ide o zmluvu o výkone penetračného testovania, ktorá vymedzuje, ktorý informačný systém, resp. časť má byť predmetom testovania, v akom časovom období sa má testovanie vykonať a pod. V tomto prípade je miera právneho rizika pre etického hackera, resp. penetračného testera pomerne limitovaná. V praxi nevytvára riziko, i keď ani v tomto prípade nemožno úplne právne riziká vylúčiť (najmä pri zásahu do práv tretích osôb). Okrem toho existujú aj platformy, ktoré na základe vopred daných pravidiel (tzv. bug bounty program), sprostredkúvajú, resp. moderujú a zastrešujú vzťah medzi spoločnosťami, ktoré majú záujem preveriť bezpečnosť svojich IT systémov a etickými hackermi. Ak sprostredkovateľ, resp. moderátor overí nájdenú zraniteľnosť a táto spĺňa podmienky zadania, hacker dostane odmenu.Príkladom je platforma Hacktrophy (https://hacktrophy.com/sk/), ktorá je považovaná za prvý bug bounty projekt na Slovensku
Druhá forma etického hackingu je z právneho hľadiska riziková, pretože etický hacker v tomto prípade koná vo vlastnom mene, bez výslovného súhlasu organizácie, na ktorej informačné systémy útočí.
Slovenský právny poriadok (predovšetkým Zákon o kybernetickej bezpečnostiZákon č. 69/2018 Z. z. v znení neskorších predpisov a Trestný zákonZákon č. 300/2005 Z. z. v znení neskorších predpisov), európska smernica NISSmernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii a ani medzinárodné štandardy ISO, ...
Súhlas s použitím cookies
Vlastné nastavenie cookies