Ethical hacking, cunoscut și sub denumirea de hacking etic, reprezintă procesul prin care experți în securitatea informațiilor utilizează metode și tehnicile hackerilor cu intenții malițioase pentru a identifica vulnerabilitățile din sistemele de IT ale unei organizații. Această practică are scopul de a îmbunătăți securitatea sistemelor, prevenind astfel atacurile cibernetice. În România, ca și în multe alte țări, legalitatea ethical hacking-ului depinde de contextul și modul în care este practicat.
Cadrul legal
În România, activitățile de hacking sunt incriminate ca infracțiuni în mai multe legi, inclusiv în Codul Penal. Potrivit legislației, accesul ilegal la un sistem informatic, interceptarea ilegală a transmisiilor de date informatice, modificarea, ștergerea sau deteriorarea informațiilor din sistemele informatice constituie infracțiuni care sunt pedepsite cu închisoarea sau cu amenda penală. De exemplu, pentru infracțiunea de acces ilegal la un sistem informatic, pedeapsa maximă prevăzută de lege, în forma agravată, este de 7 ani închisoare. Cu toate acestea, ethical hacking-ul este considerat legal atâta timp cât este efectuat în baza unui acord clar și explicit între hackerul etic și entitatea care deține sistemul informatic. În absența acestui acord, accesul la sistemul informatic va fi ilegal indiferent că intenția hackerului este una bună. Cu alte cuvinte, chiar dacă intențiile hackerilor sunt bune, ei au nevoie de acordul organizațiilor pentru a pătrunde sau a încerca să pătrundă în orice sistem informatic. În absența acestui acord, hackerul, indiferent de motivele din spatele acțiunii, va săvârși o infracțiune. Chiar dacă accesul nu s-a realizat, hackerul va putea răspunde pentru tentativa pe infracțiunea de acces ilegal la un sistem informatic. În fața unei instanțe, hackerul nu se poate exonera de pedeapsă demonstrând „buna intenție”, însă această „bună intenție” va putea fi eventual luată în considerarea de judecător la procesul de individualizare a pedepsei, prin acordarea unei pedepse mai blânde.
Codiții de legalitate
Pentru ca ethical hacking să fie legal, trebuie respectate două condiții esențiale: consimțământul și confidențialitatea.
Consimțământul: Este imperativ ca organizația care solicită testarea să ofere un mandat clar și detaliat hackerului etic. Acest mandat trebuie să includă scopurile specifice, metodele permise și limitele acțiunilor ce vor fi întreprinse.
Confidențialitate: Hackerii etici trebuie să respecte confidențialitatea datelor la care au acces în timpul testărilor și să nu divulge informații terțelor părți fără permisiunea explicită a proprietarului sistemului.
Te-ar putea interesa și:
Riscuri
Adoptarea ethical hacking-ului oferă numeroase beneficii organizațiilor, inclusiv îmbunătățirea securității informaționale și prevenirea pierderilor financiare prin identificarea și remedierea proactivă a vulnerabilităților. Cu toate acestea, există și riscuri, precum posibilitatea ca hackerii etici să depășească limitele mandatului acordat, ceea ce ar putea duce la consecințe legale.
De exemplu, în cazul în care ethical hackerii accesează, colectează sau utilizează date personale fără a avea un consens clar în acest sens în cadrul mandatului, aceștia pot încălca legislația privind protecția datelor, cum ar fi Regulamentul General privind Protecția Datelor (GDPR) în Uniunea Europeană. Aceasta poate duce la sancțiuni severe, inclusiv amenzi care pot ajunge până la 4% din cifra de afaceri anuală globală a organizației responsabile.
În plus, dacă activitățile unui ethical hacker duc la coruperea datelor sau afectarea funcționalității sistemului dincolo de ceea ce este permis prin mandat, organizația afectată poate căuta să obțină despăgubiri. Aceasta poate include costuri pentru remedierea daunelor, pierderi de venituri sau chiar daune pentru prejudiciul cauzat reputației.
Pentru a evita aceste riscuri, este esențial ca atât organizațiile care angajează ethical hackeri, cât și ei înșiși, să definească clar obiectivele, metodele și limitele fiecărui test de penetrare înainte de începerea acestuia. Acest lucru include, de asemenea, obținerea și documentarea consimțământului pentru orice activități care pot accesa date sensibile sau critice.
Concluzie
În concluzie, ethical hacking este legal în România atâta timp cât este efectuat în conformitate cu legea și cu acordul explicit al deținătorului sistemului informatic vizat. Prin urmare, companiile care doresc să utilizeze aceste servicii trebuie să se asigure că procedurile lor respectă toate cerințele legale și etice, pentru a beneficia de avantajele acestei practici fără a se expune riscurilor legale.
–>> Ai nevoie de consultanță juridică pe această temă? Contact: av.ruxandra.sava@gmail.com.
Implementează GDPR și evită amenzile!