Ломают по заказу

В последние годы практически все российские и зарубежные компании подвергаются шквалу кибератак. Хакеры похищают персональные данные, выводят из строя системы жизненного обеспечения, крадут деньги со счетов. Их методы становятся все более изощренными и агрессивными. По данным аналитиков, мировой ущерб от деятельности киберпреступников исчисляется ежегодно миллионами долларов.

В ответ на рост киберпреступности появилась новая профессия — "белый" хакер. Ее приверженцы занимаются пентестом (от английского penetration testing), то есть тестируют защитные программы заказчиков так, как это делали бы настоящие киберпреступники. По большому счету работа пентестера схожа с той, что делает хакер. Но от преступника его отличает мотивация. Киберзащитники не наносят вреда, а помогают компаниям выявлять их слабые места и гарантировать, что злоумышленники не смогут получить доступ к данным системы.

Работа пентестеров интересна и похожа на детектив. Чтобы взломать систему безопасности заказчика, они пускают в ход все средства. Недостаточно просто написать вредоносный код и "вживить" его, чтобы убедиться в том, что компания надежно защищена от кибератак. Часто "белым" хакерам приходится примерять на себя роль манипуляторов, вынуждая сотрудников заказчика пренебрегать правилами корпоративной безопасности и переходить по подозрительным ссылкам, использовать "зараженные" флешки. Все эти манипуляции пентестера помогают вы­явить брешь не только в электронике, но и в знаниях коллектива в области защиты информации.

Как только уязвимые места в системе безопасности компании выявлены, "белый" хакер составляет отчет и рекомендации по ее устранению.

Охота за "белым" хакером

Спрос на квалифицированных специалистов по киберзащите постоянно растет, ведь безопасность киберсистем — это то, в чем нуждается любой бизнес.

Однако на рынке труда "белых" хакеров пока не очень много. Обучать этому делу стали сравнительно недавно, а до того пентестом занимались лишь самородки, облада­ющие особым талантом, или фанатики кибер-мира.

В условиях дефицита специалистов профессия "белого" хакера является одной из самых высокооплачива­емых. По данным аналитиков, зарплата топового хакера примерно в три раза превышает среднюю зарплату программиста. Причем вознаграждение растет в зависимости от того, насколько опасна уязвимость. Как рассказывал летом 2022 года "Газете.ру" один из приверженцев профессии Глеб Скворцов, минимальная разовая выплата "белого" хакера составляет не менее $50, а максимальная может доходить до сотен тысяч долларов. Также Скворцов упомянул, что получал вознаграждения номиналом более $3 тыс. Ежемесячный доход киберзащитника, по его словам, "зависит от приложенных усилий и везения". "Если постараюсь, за месяц могу заработать больше $10 тыс., если поленюсь, может выйти и $100", — констатировал он.

Многие заказчики готовы не только высоко оплачивать труд пентестера, но и предоставлять лояльный рабочий график. "Белый" хакер может сам выбирать, где и как ему трудиться — дома или в офисе, днем или ночью. И пентестеры с удовольствием пользуются этим преимуществом.

Выйти из сумрака

Большинство "белых" хакеров предпочитает не афишировать свою деятельность, опасаясь привлечь внимание правоохранительных органов. Дело в том, что в законодательстве она пока не учтена и может подпадать под действие нескольких статей УК РФ.

Однако в ближайшее время ситуация может измениться. С лета 2022 года в правительстве обсуждается законопроект, который ввел бы в правовое поле понятие bug bounty (поиск уязвимостей в ПО за вознаграждение). По мнению парламентариев, регламентация деятельности пентестеров поможет им чувствовать себя защищенными. Также Минцифры России уже привлекает "белых" хакеров для поиска уязвимостей на своих ресурсах.