V době, kdy je internet páteří moderní společnosti, se bezpečnost digitálního světa stává klíčovou prioritou. Denně je po celém světě napadeno až 30 tisíc webových stránek. A tak na jedné straně jsou ti, kteří se snaží systémy prolomit a na té druhé ti, kteří je podobnými schopnostmi brání. Kdo je etický hacker?
Etičtí hackeři dnes představují jednu z nejdůležitějších obranných linií v kyberprostoru. Nejenže chrání naše data, ale často odhalují chyby, které by jinak zůstaly neopravené. Jsou zkrátka nepostradatelnou součástí digitálního ekosystému.
Hodní nebo zlí?
V digitálním prostoru platí jednoduché pravidlo, pokud zranitelnost neodhalí „hodný“, najde ji dřív nebo později ten „zlý“. Dochází tak k neustálému souboji mezi těmi, kdo se systémy snaží prolomit (black hat), a těmi, kdo je chrání. Druhé skupině říkáme etičtí hackeři nebo také „white hat“.
Na rozdíl od útočných hackerů, jejichž cílem je krádež dat, peněz nebo špionáž, etičtí hackeři pracují ve prospěch bezpečnosti. Využívají své znalosti a dovednosti k odhalování slabin v IT systémech dříve, než na ně přijdou kyberzločinci. Někdy se jedná o najaté odborníky, jindy o jednotlivce, kteří sami objeví zranitelnost a informují o ní provozovatele – aniž by z toho těžili.
Pak je tu ještě třetí skupina s názvem „grey hat“. Už z názvu můžete poznat, že jde o jakousi šedou zónu. Nejsou nutně zlovolní a nevyhledávají díry v systémech za účelem někomu ublížit, ale budou se za svůj nález v kódu dožadovat jakési formy platby. Jejich nejednoznačné zaměření znamená, že jejich chování bude v závěrů záviset na jejich osobní etice.
Etický hacker jménem
Jedním z nejznámějších etických hackerů v československém prostoru je Marek Tóth. Na svém účtu má nalezení bezpečnostních zranitelností na platformě Herohero nebo internetovém vyhledavači Seznam.cz.
Píše o tom na svém blogu, například v srpnu 2023 detailně vylíčil chyby v systému Herohero, populární platformy pro tvůrce digitálního obsahu. Tóth nejprve však na zranitelnosti upozornil provozovatele a až poté, co byly opraveny, zveřejnil jejich popis. Tento přístup – nahlásit chybu před jejím zveřejněním – je v komunitě white hat hackerů základní etický princip, kterým se bez výjimky řídí.
Jak ukazuje případ platformy Herohero, zranitelnosti mohou být v systémech extrémně nebezpečné. Umožňují totiž například manipulaci s uživatelskými účty nebo dokonce předplatným. Tóth ale odhalil i bezpečnostní chyby u Seznam.cz a další známé případy, které měly potenciál ohrozit data až milionů uživatelů.
Kyberzločiny aktuálně
Etičtí hackeři se dnes setkávají s proměnou prostředí. Většina firem přesouvá své služby do cloudu, kde bývá infrastruktura výrazně bezpečnější – služby jako AWS nebo Google Cloud jsou pod pečlivým dohledem. Slabými místy se tak čím dál častěji stávají spíše aplikace a jejich propojení, nikoliv servery samotné.
Vzrůstá také význam sociálního inženýrství – tedy manipulace lidí namísto technologií. Ať už prostřednictvím podvodných e-mailů, deepfake hovory nebo přesvědčivé phishingové útoky, které se stávají běžnou součástí kyberzločinu.
Právě proto firmy využívají služeb profesionálních penetračních testerů stále častěji. Tito experti simulují reálné útoky, aby prověřili, jak odolný systém proti vnějším i vnitřním hrozbám je. Nalezené chyby pak slouží k vylepšení zabezpečení. Jak to ale bývá zvykem, mnoho firem chyby stále ignoruje nebo je neřeší, do chvíle, než skutečně nastane problém.
Navzdory vzrůstajícímu povědomí zůstává oblast kyberbezpečnosti podfinancovaná. Podle dat NÚKIB vzrostl v Česku v roce 2023 počet kybernetických incidentů až o 80 procent. Přesto mnohé instituce i firmy stále investují do bezpečnosti jen minimálně, často kvůli nedostatku odborníků. V celosvětovém měřítku je Česko, hned za Ruskem a USA, třetí nejčastější obětí hackerských útoků na obyvatele.
Připravila: Petra Sauerová