מדוע Paypal ,Airbnb וספוטיפיי משלמות להאקרים שיפרצו אליהן?

מנהלים בכירים שילמו להאקרים אתיים, "לבנים", יותר מ-50 מיליון דולר בשנה החולפת, בשל חשש מתגבר מפני איומי סייבר. דולרים

שירותיהם של האקרים "לבנים" נשכרים במטרה לחזק את ההגנות של ארגונים, וכדי למנוע פריצות יקרות – ומביכות. על פי חברת אבטחת המידע Hackerone, הסכום ששולם למומחים הללו גדל באופן אקספוננציאלי בשנים האחרונות. "מצב אבטחת המידע כל כך גרוע" אמר מרטן מיקוס, מנכ"ל Hackerone , "כל מצב שתדמיינו – בפועל הוא גרוע יותר".

ככל שאיומי הסייבר מחריפים סביב העולם, חברות פונות להאקרים "לבנים", על מנת לזהות חולשות במערכות שלהן. Hackerone , המעסיקה האקרים רבים שכאלה, אומרת שהיא מצפה להגיע ליעד הכנסות של 100 מיליון דולרים, עד סוף השנה הבאה – וכי סכום זה צפוי לנסוק למיליארדי דולרים במהלך העשור הבא.

האסטרטגיה הזאת הביאה להרמת גבות בקרב כמה חברות, עם ביקורת לגבי השימוש בהאקרים למטרת הגנת סייבר. כריס בויד, אנליסט מודיעין סייבר בחברת Malwarebytes , אמר כי הבחין במגמה גדלה של האקרים "אפורים" לכאורה, שפעילים בשני השדות – הן כפושעי סייבר והן כמומחי אבטחה.

דיוויד וורבורטון, מומחה איומים בכיר ב-F5, אמר כי "למרות שזה נראה מנוגד לאינטואיציות – להשתמש בהאקרים על מנת לתכנן ולבחון את הגנות הסייבר, הדבר שיש להם בשפע, הוא ניסיון מעשי רב ערך. לכן, זה טוב מאד לראות כי חברות דוגמת

Airbnb ,Paypal, וספוטיפיי, מבינות את היתרונות בעבודה עם האקרים אתיים". לדברי וורבורטון, "לארכיטקטים של אבטחת מידע יש ידע עשיר בנוגע ל-best practices בתעשייה, אבל מה שחסר להם פעמים רבות, הוא הידע המעשי: כיצד התוקפים מבצעים תחקיר, קושרים ביחד התקפות מרובות ומשיגים גישה לרשתות הארגוניות. כדי להגן על יישומים, יש לקחת בחשבון כל זווית תקיפה אפשרית. עם הטכנולוגיה והחולשות שמתפתחות כל הזמן, זוהי משימה אינסופית. כאן מגיע היתרון שבהעסקת ההאקרים הלבנים, הם רק צריכים למצוא אזור אחד של חולשה, על מנת לחדור פנימה ולזכות בניצחון". הוא סיים באומרו כי "האקרים לבנים ופושעי סייבר לשעבר יכולים להביא ידע רב ערך מהעולם האמיתי לטווח רחב של פעילויות אבטחת מידע, כולל יצירת מודל איומים ומבחני חדירות. הם יכולים להציע פרספקטיבה, שאחרים לא חשבו עליה – ויכולים להראות לעסקים כיצד להתאים את עצמם לאיומים, על ידי הבאת תובנות לתוך הטקטיקות והגישות שלהם".

אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי פאואר תקשורת, מפיצת פתרונות Sophos בישראל, אמר כי "מה ההבדל בין האקר שמנסה לחדור למערכת בתשלום של הלקוח, לבין חברות סייבר שעושות את אותו הדבר? אין הבדל. הראשון הוא עצמאי, ונקרא האקר 'לבן' והשני עובד בשביל חברה ונקרא pen-tester (בודק חדירות). זוהי מגמה מבורכת, והיא מראה שהחברות הגדולות הפנימו את הסכנות הכרוכות בחדירה למערכות המחשוב שלהן והן מוכנות להוציא משאבים רבים על מניעה ובחינת החוסן שלהן בסייבר". סגלמן סיים באומרו כי "שימוש בחברות שונות, הכוללות מומחים מרקעים שונים וממדינות שונות, מבטיח בדיקה טובה יותר, שמכסה נקודות תורפה רבות יותר. כל האקר, או בודק ברמות האלו, מביא אתו את נקודות המבט הייחודית שלו, דבר שעוזר לחברה לכסות יותר נקודות תורפה".