Хакерское предпринимательство? Одна из сложностей в борьбе с киберпреступностью состоит в том, что она меняется вместе с технологиями. Эту проблему можно описать через дилемму Коллингриджа. Когда компания готовит инновацию, она имеет полноценный контроль над технологией. Однако в лабораторных условиях тяжело понять, какие риски она может породить в открытом мире, — это знание обычного приобретается лишь за счет нежелательных событий. Даже законное, но свободное и широкое использование технологии может вызывать неожиданные проблемы — если же кто-то специально ищет уязвимости для эксплуатации, то риски многократно увеличиваются. Организациям, имеющим сложную цифровую инфраструктуру, нужны способы решать дилемму Коллингриджа эмпирически. А что если бы компания добровольно соглашалась на взлом своих систем, а хакер бы обязывался предоставить компании подробный отчет о ходе атаки и рекомендации по защите? Примерно так можно описать работу тех, кого называют «пентестерами» (от англ. penetration testing — тестирование на проникновение): по согласованию с заказчиком они должны обнаружить уязвимые места в организации, которые будут использовать злоумышленники. Пентест появился почти одновременно с киберпреступностью: в 50-е годы корпорация RAND занималась интеграцией технологических решений для ВВС США и внедрила пентест для выявления уязвимостей в информационных системах. Постепенно, вместе с компьютеризацией бизнеса, пентест стал частью процедур соблюдения требований к информационной безопасности и способом доказательно повышать защищённость компьютерных систем. Ключевое отличие действий пентестеров от действий преступников — договорные отношения с заказчиком. В этом смысле пентест можно рассматривать как особую форму силового предпринимательства в сфере информационной безопасности, «хакерское предпринимательство». При всех отличиях классическая силовая протекция и пентест имеют важное сходство: в обоих случаях капитализируется демонстрация собственной силы и уязвимости контрагента. Как говорится, тема ждет своего исследователя.