Näin hakkeroinnilla tienaa laillisesti – alalla tiukat vaatimukset

Tietokonehakkeroinnilla on huono imago tietovuotojen ja palvelunestohyökkäysten takia. Nuorien hakkereiden taitoja kuitenkin kaivataan yrityksissä, jotka yrittävät löytää vikoja ohjelmistoissaan. Hyväntahtoista hakkerointia kutsutaankin eettiseksi, tai valkohattuhakkeroinniksi.

Kyberturvallisuusasiantuntija Riku Juurikko sanoo, että hakkerointi on lähtökohtaisesti hyvää.

– Hakkeri on utelias tyyppi, joka selvittää miten joku asia saadaan toimimaan toisella tavalla. Hakkeri voi myös syyllistyä hölmöyksiin ja tehdä rikollisia asioita. 

– Mutta eettisessä hakkeroimisessa pyritään tietoisesti tekemään hyviä asioita, etsimään vaikka jotain haavoittuvuuksia koodissa, ja raportoimaan niistä kehittäjille, Juurikko sanoo.

Klassiset tapaukset 1990-luvulta

Käytännön esimerkit huolimattomasti kirjoitetusta koodista löytyvät jo 1990-luvulta.

–Kun netti oli vähän lapsenkengissä, oli klassisia tapauksia kuten "pizza online", jossa pystyi tilaamaan ilmaisia pizzoja tai jopa laittamaan miinusmerkin rahasummaan, jolloin sai itselleen rahaa tilaamalla pizzoja.

Nextgenhack.fi ry on voittoa tavoittelematon yhdistys, joka on perustettu tukemaan eettisestä hakkeroinnista kiinnostuneita nuoria. Yhteistyökumppani Aktian tietoturvajohtaja Henri Heinonen sanoo yhtiön hyödyntävän valkohattuhakkereita viikoittain. 

– Tämä on varsin vakiintunutta toimintaa finanssitoimialalla. Siinä tarkoituksena on nimenomaan löytää sellaisia haavoittuvuuksia, joita ei ehkä teknisillä automaattisilla keinoilla löydetä. Sen sijaan valjastetaan ihmismieli etsimään sieltä niitä haavoittuvuuksia liiketoimintalogistiikasta tai muualta. 

"Eettiset hakkerit tekevät arvokasta työtä"

Juurikko on samaa mieltä.

– Meidän alalla on tiukat turvallisuusvaatimukset, kaikille tehdään laajat turvallisuusselvitykset. Joten jos siellä on tiettyjä verkkoturvallisuuteen liittyviä rikoksia, se hankaloittaa moniin ympäristöihin työllistymistä huomattavasti. 

– Tällä on pitkät perinteet, ja eettiset hakkerit tekevät erittäin arvokasta työtä.

Valkohattuhakkerit pystyvät työllistymään taitojensa avulla, esimerkiksi konsultteina tietoturvayhtiöissä.

– Me saatamme antaa heille kohteeksi jonkun järjestelmän tai palvelun, ja joskus emme anna lisätietoja eli hakkerit menevät sokkona katsomaan, mitä löytyy, Heinonen sanoo.

– Toisissa tapauksissa annamme heille dokumentaatiota, ohjelmistokehittäjät ovat siinä mukana, ja hakkerit saavat vapaat kädet etsiä haavoittuvuuksia.

Yhtiöt käyttävät myös "bug bounty” -ohjelmia, joissa hakkereille annetaan koodia julkisesti nähtävässä verkossa, ja heille maksetaan palkkiota kun he raportoivat haavoittuvuuksia takaisin firmoille.

Riku Juurikon mukaan Nextgenhack.fi haluaa tavoittaa mahdollisimman paljon taitavia nuoria.

– Nuoret haluavat näyttää, että he osaavat tehdä asioita. Tämä saattaa johtaa tilanteisiin, joissa saatetaan tehdä jotain hölmöä, tai näyttää kavereille että osaa tehdä siistejä juttuja.

– Me haluamme tarjota heille alustan, jossa he pystyvät näyttämään taitonsa turvallisessa ympäristössä. Meidän kauttamme on porukkaa päässyt jopa töihin, kun on osannut näyttää taitojansa.

"Haluamme tunnistaa riskirajoilla olevia nuoria"

Ajatus lähti liikkeelle siitä, että haluttiin puuttua nuorten hakkerointiin ennen kuin se luisui rikoksen puolelle.

– Me haluamme tunnistaa riskirajoilla olevia nuoria, ja ennen kaikkea puuttua siihen, Juurikko sanoo.

– Jos ollaan jo lähellä sitä rikoksen polkua, ei ole välttämättä vielä liian myöhäistä. Siinä vaiheessa voidaan vielä tehdä yhteistyötä ja pyrkiä korjaamaan tilannetta.

Heinonen korostaa alan nuorille tarjoamia työmahdollisuuksia.

– Me näemme asiakkaidemme kanssa verkkorikollisuuden nurjaa puolta, ja haluamme lisätä nuorten keskuudessa tietoisuutta siitä, että ura- ja työmahdollisuuksia on myös täällä hyvisten puolella. 

– Ei kannata lähteä rikoksen polulle, kyllä se sitten jossain kohtaa tulee kuitenkin vastaan. On ikäviä tapauksia, joissa parikymppiset nuoret huomaavatkin, että suunniteltu työura katkeaa, kun on nuorempana tullut hölmöiltyä, Heinonen sanoo.

Juurikko on samaa mieltä.

– Meidän alallamme on tiukat turvallisuusvaatimukset, kaikille tehdään laajat turvallisuusselvitykset. Joten jos siellä on tiettyjä verkkoturvallisuuteen liittyviä rikoksia, se hankaloittaa moniin ympäristöihin työllistymistä huomattavasti.