Az információbiztonság vagy adatbiztonság napjaink egyik egyre többet emlegetett kifejezése. Számos olyan szakma, szerepkör és fogalom alakult ki az elmúlt időszakban körülötte, amelyek megszületését a számítógép és az internet létrehozásakor még sejteni sem lehetett.

Az egyik ilyen az úgynevezett „hacker”. A hackereket is szokás a tevékenységük alapján kategorizálni, az elektronikus rombolással protestáló anarchistákon át a mások által megírt kódokkal villogó szkript kölykökig (script kiddie-k). Szögezzük le, hogy hackelni, mások rendszereit feltörni, tönkre tenni, adatokat lopni vagy módosítani alapvetően illegális tevékenység. Magyarországon is, mint sok más országban, a számítógépes bűncselekményeket a törvény bünteti.

Joggal merül fel a kérdés, hogy mitől lesz egy hekker etikus? „Nos egyszerűen attól, hogy az informatikai rendszer tulajdonosától van felhatalmazása ezt a bizonyos rendszer megtámadni, tesztelni, hibákat keresni, oda betörni, jogosultságokat megszerezni. Sőt, ha a megbízó erre felhatalmazást ad, akkor bizonyíték gyanánt adatokat megismerni, megszerezni vagy megváltoztatni. Rendkívül fontos, hogy az etikus hacker a tevékenységét minden esetben dokumentálja, a megszerzett információkkal nem él vissza, a hibákról, biztonsági résekről értesíti a megrendelőt és azt is megmondja, hogy hogyan lehet a hibákat kijavítani” – hangsúlyozza Solymos Ákos, a QUADRON szakértője.

Minden olyan esetben, amikor a hekkernek nincs felhatalmazása, hanem saját elhatározásból programhibákat keres, kihasznál, biztonsági intézkedéseket kijátszik, stb., akkor nem etikus. Még akkor sem, ha erről utólag, vagy közben értesíti az adott rendszer tulajdonosát. Miért baj, hogy ezt csak utólag teszi meg? Azért, mert a felhatalmazás természetesen nemcsak egy papír aláfirkantásáról szól, hanem adott esetben arról is, hogy a megbízó is felkészült arra, hogy meg fogják támadni, valami probléma lehet, akár leállhat egy rendszer vagy szolgáltatás, vagy adatvesztés következik be. Ha erről utólag szól valaki, akkor lehet, hogy már késő.

„Persze vannak olyan betörési tesztek, ahol kifejezetten az a cél, hogy a megbízó biztonsági rendszerei és szakértői észreveszik-e a támadást, és ha igen, hogyan reagálnak rá, de a lényeg ebben az esetben is az, hogy a megbízónak tudnia kell előre, hogy ki, milyen rendszert, milyen módszerekkel próbál feltörni” – teszi hozzá a szakértő.

Az interneten számos ingyenes és fizetős program és tudásbázis van a hackelések legkülönbözőbb fajtáira, amelyek mindenki számára elérhetőek – és sajnos vannak, akik ezeket el is kezdik használni. Szórakozásból vagy saját tudásuk tesztelésére, vagy csak azért, mert megmentési kényszerük van (Superman-effektus). És nem tudják, hogy mindez akkor és csak akkor lesz etikus, ha az informatikai rendszer tulajdonosa erre előre felhatalmazta őket.

Ilyen felhatalmazás lehet még az egyre népszerűbb hibavadász program (bug bounty) meghirdetése is. Hibavadász programokat általában szoftvergyártó cégek hirdetnek, de bármilyen vállalat megteheti, ha lefekteti a szabályokat és motivációként valamilyen díjat ad annak, aki a program szabályait betartva értesíti őket a talált programhibáról, biztonsági hiányosságról. Ezek a szabályok nagyon szigorúan veendők, mert ha a hibabejelentő nem tartja be őket – például ha szerinte lassú a hibajavítás, ezért bekapcsol a „Superman-üzemmód”, és azt gondolja, hogy ha a sajtónyilvánosság elé tárja a problémát, akkor gyorsabb lesz a foltozás – nos, akkor oda az etikusság és jönnek a büntetőtörvénykönyvi paragrafusok.