Etický hacking a výskum kybernetickej bezpečnosti

JUDr. Michal Rampášek je advokát spolupracujúci s advokátskou kanceláriou WISE3. Vo svojej praxi sa venuje najmä právu IKT, trestnému právu, kybernetickej bezpečnosti a ochrane osobných údajov. Je členom pracovnej skupiny SAK pre elektronizáciu výkonu advokácie a Asociácie kybernetickej bezpečnosti.

Problematike etického hackingu z pohľadu trestného práva som sa venoval v mojom predošlom príspevku (BSA 4/2022), pričom osobitne som poukázal na úlohu programov koordinovaného oznamovania zraniteľností.Rampášek, M. (2022): Etický hacking a (ne)oprávnený prístup od počítačového systému, Bulletin slovenskej advokácie č. 4/2022 V tomto smere pokračujem analýzou etického hackingu a predovšetkým výskumu kybernetickej bezpečnosti, tentokrát z pohľadu autorského práva a ochrany počítačových programov.

Výskum, etický hacking a penetračné testovanie

Nezávislý výskum kybernetickej bezpečnosti a bezpečnostnú komunitu považujem za dôležité hnacie sily napredovania v oblasti kybernetickej bezpečnosti. Preto je potrebná podpora pre ochranu výskumníkov v oblasti bezpečnosti, ktorí konajú v dobrej viere. Pred tým, ako sa dostanem k samotného výskumu kybernetickej bezpečnosti, považujem za potrebné objasniť spojitosť pojmov penetračné testovanie, etický hacking a výskum kybernetickej bezpečnosti.

Penetračné testovanie je späté s etickým hackingom až tak, že sa tieto pojmy často používajú zameniteľne, avšak existuje medzi nimi určitý rozdiel.

Anglické Národné centrum pre kybernetickú bezpečnosť (National Cyber Security Centre) definuje penetračné testovanie ako: „Metódu získania istoty v oblasti bezpečnosti IT systému pokusom o prelomenie časti alebo celej bezpečnosti tohto systému pomocou rovnakých nástrojov a techník ako protivník.“National Cyber Security Centre: Guidance. Penetration Testing. dostupné na: https://www.ncsc.gov.uk/guidance/penetration-testing  Český Národný úrad pre kybernetickú a informačnú bezpečnosť zase definuje penetračné testovanie ako „jeden ze způsobů proaktivní ochrany snažící se odhalit slabá místa v obraně dříve, než je někdo zneužije. Jedná se tedy o reálnou simulaci útoku, kdy dochází k pokusu proniknout do testovaného systému. Cílem penetračního testování je identifikovat zranitelnosti a navrhnout, jak tyto nedostatky odstranit.“Národní úřad pro kybernetickou a informační bezpečnost (2022): Penetrační testování – Úvod do problematiky, verzia 1.0, str. 8, dostupné na: https://www.nukib.cz/download/publikace/podpurne_materialy/2022-03-07_Penetracni-testovani_v1.0. pdf

Penetračné testovanie a testovanie zraniteľností je jednou z povinností vyplývajúcich pre povinné osoby v Českej republike. Povinnosť vykonať penetračné testovanie alebo testovanie zraniteľností je výslovne (na rozdiel od slovenskej právnej úpravy kybernetickej bezpečnosti) upravená v rámci riadenia zmien a aplikačnej bezpečnosti, vo vyhláške o kybernetickej bezpečnosti českého Národného úradu pre kybernetickú a informačnú bezpečnosť.Porov. § 11 ods. 3 a § 25 ods. 1 Vyhlášky č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

Na penetračné testovanie sa môžeme pozrieť z dvoch hľadísk. Po prvé je to pohľad znútra, teda pohľad poskytovateľa (vendora) produktu alebo služby informačných a komunikačných technológií (ďalej len „IKT“). V takom prípade je penetračné testovanie pravidelnou ...