道德黑客通过在恶意用户发现安全漏洞之前发现漏洞，为组织带来价值。他们受到尊重是很自然的。然而，事情并不像看起来那么简单。道德黑客可能会受到法律诉讼，即使他们破坏了善意的系统。

如果组织要求，道德黑客的行为被认为是可以接受的。但即便如此，这也不能免除此类黑客行为的法律诉讼。最不稳定的是黑客的位置，他们闯入未经请求但用心良苦的系统。管理道德黑客的法律目前不充分且不明确。道德黑客的法律保护需要认真关注。有必要界定工作范围和其他法律规定。

什么是道德黑客？

所谓伦理黑客攻击是指为了发现安全问题而进入系统，但没有恶意的做法。道德黑客倾向于让系统的所有者或利益相关者知道他们的发现。道德黑客可以通过恳求或不请自来的方式开展工作。组织正式要求黑客测试他们的系统。这种安排被称为渗透测试。黑客测试系统，通常在工作结束时提供报告。另一方面，不请自来的黑客出于各种原因测试系统。对于黑客来说，被请求的黑客攻击可能比未经请求的黑客攻击更危险，主要是因为未经请求的黑客缺乏正式的批准。(了解黑客攻击的5个原因，了解更多黑客攻击的积极方面。)

道德黑客的行为是一种有用的防范做法，经常被咨询。然而，道德黑客的行为仍然可能导致许多不同的问题。比如这类黑客在某个阶段仍然可以允许恶意接管，缺乏法律协议可能会导致混乱。

道德黑客与法律——一个案例研究

从表面上看，道德黑客似乎是一种善良的做法，只能引起赞美和感激——情况并非总是如此。2013年，MP面临法律诉讼，指出医疗中心网站存在安全漏洞。国会议员使用公共证书登录医疗中心网站，偶尔会出现严重的安全问题。当国会议员公开他的发现时，医疗中心对他提出了法律指控。这一事件引发了许多关于道德黑客攻击的不同问题。国会议员不是专业黑客——远非如此，他甚至不懂计算机。他利用互联网上提供的凭据访问网站，无意中获得了机密记录。为了让医疗中心知道他的发现，他不得不通过官僚程序。在评估形势的紧迫性时，他通过媒体得知了这一消息。这可能看起来很有趣，也很忘恩负义，医疗中心没有承认他的观点，也没有感谢他指出安全漏洞，而是决定起诉他。显然，关于伦理黑客攻击还有很多问题需要解决。热爱黑客。)

道德黑客真的有道德吗？

从表面上看，伦理黑客的行为是一种有益于组织的道德行为。许多黑客已经被请求或未经请求，在其他有意图的人发现之前，已经在系统中发现了安全漏洞。大多数组织在内部或通过雇佣专业黑客进行道德黑客攻击。然而，软件安全是一个巨大而复杂的领域，内部测试可能并不总是揭示所有缺陷，尤其是在处理敏感数据(如金融或国防数据)的大型复杂应用程序的情况下。在这种情况下，您需要一个特殊的黑客来发现安全漏洞。话虽如此，黑客决定了他们的道德。要理解这一点，请考虑以下问题：

如果道德黑客在黑客过程中做出不道德的行为会怎么样？例如，如果荷兰议员出售机密数据而不是指出安全漏洞会怎么样？

被请求的黑客可能会超出工作范围，冒险进入协议不允许的软件部分。

以上场景没有超出可能性范围。它们为我们提供了一个强有力的理由来实施一个强有力的法律框架来管理道德黑客的行为。

道德黑客需要法律保护吗？

毫无疑问，道德黑客的攻击对组织有利。没有必要为道德黑客提供法律保护，而是通过界定双方范围、角色和责任的关键法律。法律应解决以下问题：

道德黑客的定义

伦理黑客的行为只有正式收集才能完成吗？即便如此，仍有许多未经请求的黑客攻击机会。如何看待未经请求的黑客攻击？

只有黑客和组织之间的正式和详细协议才会被视为请求的黑客行为。协议的内容应从更广泛的法律框架中获得。

时间是解决安全漏洞的关键因素。当发现安全漏洞时，可能需要立即修复，以防止未经授权的损坏。每个组织会很快接受问题描述和必要的行动吗？官僚程序可能会拖延行动，并为未经授权的黑客留下空缺。不请自来的黑客如果绕过官僚程序，使用荷兰议员等其他信息渠道，会受到惩罚吗？

黑客和组织之间的法律协议应明确说明道德黑客的工作范围。

对被请求和未经请求的黑客的补偿和奖励的定义

如果一个未经请求的黑客滥用了一个安全漏洞，你如何解决这个问题？

结论

如果使用得当，道德黑客有很大的积极潜力。最大的挑战之一是主观解释。因此，有必要建立一个客观、全面和明确的法律框架。该框架应该在黑客和组织的无拘无束的力量之间取得平衡。过多的电力可能是灾难性的，因为它会严重损害系统或黑客的信心或意图。与此同时，道德黑客团体也可能考虑在法律框架之外实施自我强加的行为准则。

标签：