Begreppet ”etisk hacker” kan låta motsägelsefullt. Hackers har länge haft en negativ klang, förknippade med cyberbrott, intrång och datastölder. Men är det verkligen så svartvitt? Finns det hackers som faktiskt gör gott, och om så är fallet, kan vi verkligen kalla dem ”etiska”?
En etisk hacker är en person som använder samma tekniker som en cyberbrottsling, men i syfte att förbättra säkerheten. De mest etablerade arbetar ofta som säkerhetskonsulter för företag, myndigheter eller ideella organisationer. Deras jobb går helt enkelt ut på att identifiera säkerhetsbrister innan någon med onda avsikter utnyttjar dem.
De mest kända etiska hackarna har certifieringar som CEH (Certified Ethical Hacker) och OSCP (Offensive Security Certified Professional), men majoriteten av dom skickligaste inom området är de som lärt sig själva och kanske även bevisat sin skicklighet genom exempelvis bug bounty-program.
Det finns med andra ord hackers som aktivt letar efter säkerhetsbrister överallt, men det är när bristen hittas som det bildas två olika ”hattar”. Det som skiljer en ”black hat”-hacker (cyberbrottsling) från en ”white hat”-hacker (etisk hacker) är just tillståndet.
Men är det verkligen så enkelt? Om någon bryter sig in i ett säkerhetssystem utan tillstånd, men sedan rapporterar säkerhetshålen istället för att utnyttja dem, har de agerat etiskt eller olagligt?
Många länder har lagar som kriminaliserar all typ av obehörigt intrång, vilket innebär att självlärda säkerhetsexperter som avslöjar säkerhetsluckor kan riskera straff, trots goda intentioner. Detta gör att vissa etiska hackare lever i en gråzon mellan lag och moral.
Filosofiska perspektiv på etisk hacking
Filosofi handlar om att ifrågasätta, analysera och förstå grundläggande koncept som etik, moral och rättvisa. När det gäller etisk hacking kan vi ställa oss frågan: ”Vad är egentligen ”etik” i en digital kontext?”
Inom den filosofiska grenen ”etik” finns olika synsätt på vad som är rätt och fel. En sida skulle kunna argumentera att om en hackares handling leder till ökad säkerhet och skyddar samhället, är det en etisk handling oavsett hur den genomförs. Å andra sidan, skulle man kunna hävda att det är metoden som avgör om något är rätt eller fel, och att intrång i system utan tillstånd alltid är moraliskt fel, oavsett avsikten.
Detta leder förstås till en vidare diskussion om hur vi definierar rätt och fel i en värld där teknologin utvecklas snabbare än lagstiftningen. Kan vi jämföra en etisk hacker med en modern version av Robin Hood, eller är det snarare så att goda intentioner inte kan rättfärdiga lagbrott?
Trots ryktet som ofta förknippas med ordet ”hacker” spelar etiska hackare trots allt en avgörande roll i vår moderna cybersäkerhet. De hjälper till att skydda allt från sjukhus och banker till statliga institutioner och små företag. Utan dem skulle cyberbrottslingar ha mer eller mindre fritt spelrum. Dom ”licensierade säkerhetskonsulterna”, även om dom är duktiga, fokuserar inte lika brett som dom okända ”etiska hackers” som finns världen över. Vilket i sin tur leder till en majoritet av okända ”hjältar” som oftast för nöjes skull, löser kritiska säkerhetsproblem, med risk för fängelse.
Program som ”bug bounty” har gjort det möjligt för hackare att tjäna pengar genom att hitta säkerhetsluckor i företags system. Techjättar som Google, Microsoft och Facebook betalar stora summor till dem som rapporterar säkerhetshål innan någon hinner utnyttja dem. Samtidigt är det sanktionerad hacking och det finns inga (eller få) risker att åka i fängelse.
Finns det kända etiska hackers?
Det finns flera kända etiska hackare världen över, men även Sverige har bidragit med skickliga säkerhetsexperter. Ett exempel är Dan Egerstad, en svensk säkerhetsforskare som blev känd när han 2007 avslöjade hur diplomatiska e-postkonton kunde kapas genom osäkra proxyservrar. Hans upptäckt ledde till en global diskussion om cybersäkerhet och kryptering.
En annan svensk profil inom etisk hacking är Jesper Larsson, som har varit en del av cybersäkerhetsvärlden i många år och bidragit till att identifiera och åtgärda sårbarheter i kritiska system.
Jag vill också ge en ”shout-out” till Karl-Emil Nikka, på Nikka Systems. Trots att han inte är en hacker (etisk eller oetisk) så har hans arbete med att informera såväl företag som privatpersoner om datasäkerhetsfrågor lett till en ökad fokus hos alla som följer hans podcast eller YouTube kanal.
Nikka Systems har dessutom många lärorika utbildningar för företag, som hjälper att öka medvetenheten rörande IT säkerhet hos såväl ledning som anställda. Se det som ett tips från mig. 😄
Lagstiftning och juridiska gråzoner
Lagstiftningen kring etisk hacking varierar mellan olika länder. Men i Sverige regleras obehörigt dataintrång av brottsbalkens 4 kapitel, vilket gör det olagligt att utan tillstånd ta sig in i någon annans IT-system. Även om syftet är att avslöja säkerhetsbrister kan hackaren dömas för brott om de inte har fått tillstånd.
Detta skapar en svår situation för många säkerhetsexperter. På ena sidan finns företag och myndigheter som behöver hjälp med att identifiera brister, men på den andra sidan står lagstiftningen som kan göra det riskabelt att rapportera sårbarheter utan ett formellt samarbete. Det kan också vara krångligt att få till ett formellt samarbete om man är en ”okänd hacker”, eftersom få företag vill släppa in ”fienden till ytterdörren”, metaforiskt.
På mitt jobb har vi använt ”etiska hackers” för att hitta säkerhetsproblem, vilket i sin tur lett till en betydligt säkrare IT miljö för alla. Även om vi som jobbar inom IT ibland kan känna att vi ”sitter säkert”, så måste man alltid ta hänsyn till alla aspekter inom säkerheten, vilket inte är så lätt. Det absolut enklaste sättet är då att ta hjälp av någon ”utifrån”, som får bidra med ett annat synsätt.
Vissa länder, som USA, har infört specifika lagar som ger skydd åt etiska hackare inom vissa ramar, exempelvis genom initiativ som ”Safe Harbor”-klausuler i bug bounty-program. Liknande lösningar diskuteras i Sverige, men än så länge är juridiken en utmaning för de som vill bidra till cybersäkerheten på eget initiativ.
En Robin Hood för IT-åldern eller bara moderna laglösa?
Etiska hackare kan ses som IT-världens Robin Hood, som använder sin kunskap för att skydda andra. Men de kan, precis som Robin Hood, också uppfattas som individer som balanserar på en filosofisk gräns mellan lagligt och olagligt, beroende på vem man frågar.
Det råder inga tvivel om att de spelar en viktig roll i dagens digitala samhälle, men frågan kvarstår: Är det någonsin etiskt att hacka? Eller handlar det bara om att hacka på ”rätt” sätt? Hur lätt är det egentligen för en etisk hacker att vända på klacken och gå över till den mörka sidan om tillfället ges? Kan man som ägare av ett IT system lita på att en hacker avslöjar allt, eller finns det en risk att man medvetet utsätter sitt företags IT system för ännu mer risker?
Jag är rädd att jag inte har något svar på dom frågorna.
Som etisk hacker så får man försöka informera sina ”måltavlor” i förväg och få tillstånd, även om det skapar ett scenario som är lite krystat. Eftersom det är en olaglig handling så är det viktigt att gå varsamt framåt och ha ett korrekt konsekvenstänkande.
Som företagsledare så gäller det att ta varningar på allvar och vara lyhörd gällande IT säkerhetsfrågor. Att anlita en känd säkerhetskonsult för att se över företagets säkerhet kan vara något som man tjänar miljoner på i slutänden.
Om vi tänker tillbaka på vad som hände i Kalix Kommun för ett tag sedan så kan vi nog alla vara överens om att dom mycket hellre skulle ha lagt ned lite mer pengar på IT säkerhet, istället för att bygga upp allt igen efter den fruktansvärda attacken. En händelse som för övrigt skakade liv i säkerhetstänket för många andra Kommuner i Norrbotten. 😬
Tyck gärna till via mail eller kommentar, så att jag får veta vad du tycker. Tycker du att det är okej att ”hacka etiskt”, eller är det fortfarande ett brott, även om intentionerna är goda? Går det verkligen att lita på hackers, etiska eller ej?
Ha en riktigt bra dag så hörs vi snart igen.