道德黑客通过在恶意用户找到安全漏洞之前找到安全漏洞，为组织带来价值。他们被尊重地看待是很自然的。然而，事情并不像看起来那么简单。道德黑客可能会受到法律诉讼，即使他们破坏善意的系统。

如果组织要求，道德黑客行为被认为是可以接受的。但即便如此，它也不会使这种黑客行为免于法律诉讼。最不稳定的是那些闯入未经请求但有良好意图的系统的黑客的立场。管理道德黑客的法律目前不充分且含糊不清。道德黑客的法律保护问题需要得到认真关注。需要确定工作范围和其他法律规定。

什么是道德黑客?

所谓的道德黑客攻击是指为了发现安全问题而进入系统的做法，但没有任何恶意。道德黑客倾向于让系统中的所有者或利益相关者知道他们的发现。道德黑客可以通过征求或未经请求的方式开展工作。组织正式请求黑客测试他们的系统，这种安排称为渗透测试。黑客测试系统并通常在工作结束时提供报告。另一方面，未经请求的黑客出于各种原因测试系统。对于黑客而言，被请求的黑客攻击可能比未经请求的黑客攻击更危险，主要是因为未经请求的黑客缺乏正式批准。(了解黑客入侵的5个原因，有关黑客攻击的积极方面的更多信息。)

道德黑客行为是一种有益的预防性做法，经常被征求意见。但是，道德黑客行为仍可能导致许多不同的问题。例如，此类黑客仍然可以允许恶意意图在某个阶段接管，而缺乏法律协议可能会导致混乱的情况。

道德黑客与法律 - 案例研究

从表面上看，道德黑客似乎是一种善意的做法，只能引起赞美和感激 - 这种情况并非总是如此。2013年，荷兰议会议员(MP)面临法律诉讼，指出医疗中心网站存在安全漏洞。国会议员已使用公开的证书登录医疗中心网站并偶然发生严重的安全问题。当国会议员将他的调查结果公之于众时，医疗中心对他提出了法律指控。这一事件引发了许多关于道德黑客攻击的不同问题。国会议员不是专业黑客 - 远非如此，他甚至都不懂电脑。他使用互联网上提供的凭据访问了该网站，并无意中获得了对机密记录的访问权限。为了让医疗中心了解他的发现，他必须经历一个官僚程序。在评估形势的紧迫性时，他通过媒体了解消息。可能看起来既有趣又忘恩负义，而不是承认他的意见并感谢他指出安全漏洞，医疗中心决定起诉他。显然，有很多关于道德黑客攻击需要解决的问题。为了爱黑客。)

道德黑客真的是道德的吗?

从表面上看，道德黑客行为是一种有益于组织的道德行为。有许多黑客被征求或未经请求，在有意图的其他人找到它们之前，已经在系统中发现了安全漏洞。大多数组织在内部或通过雇用专门的黑客来实施道德黑客攻击。但是，软件安全性是一个庞大而复杂的领域，内部测试可能并不总能揭示所有缺陷，尤其是在处理敏感数据(如财务或国防数据)的大型复杂应用程序的情况下。在这种情况下，您需要专门的黑客来发现安全漏洞。话虽如此，黑客决定了黑客的道德规范。要理解这一点，请考虑以下问题：

如果道德黑客在黑客工作过程中执行不道德的行为会怎样?例如，如果荷兰议员出售机密数据而不是指出安全漏洞怎么办?

被请求的黑客可能会超出工作范围并冒险进入根据协议不允许的软件部分。

上述情景并非超出可能性范围，它们为我们提供了强有力的理由来实施强有力的法律框架来管理道德黑客行为。

道德黑客是否需要法律保护?

毫无疑问，道德黑客攻击对组织有益。不需要为道德黑客提供法律保护，而是需要通过定义双方工作范围，角色和责任的重点法律。法律应解决以下问题：

道德黑客的定义

道德黑客行为只有在正式征集时才能完成吗?即便如此，未经请求的黑客攻击也会有很多机会。如何看待未经请求的黑客行为?

只有黑客和组织之间的正式和详细协议才会被视为被请求的黑客行为。该协议应从更广泛的法律框架中获得内容。

时间是解决安全漏洞的关键因素。当发现安全漏洞时，可能需要立即修复以防止未经授权的破坏。每个组织是否都会迅速接受问题描述和必要的行动?官僚程序可能会拖延行动，并为未经授权的黑客留下空缺。未经请求的黑客是否会受到惩罚，如果他们绕过官僚程序并使用像荷兰议员那样的其他信息渠道?

黑客和组织之间的法律协议应明确说明道德黑客的工作范围。

对被请求者和未经请求的黑客的赔偿和奖励的定义

如果未经请求的黑客滥用安全漏洞，您如何解决问题?

结论

如果使用得当，道德黑客具有巨大的积极潜力。可能面临的最大挑战之一是主观解释。因此，有必要建立一个客观，全面和明确的法律框架。该框架应该在黑客和组织不受约束的权力之间取得平衡。太多的权力可能是灾难性的，因为它可能会对系统或黑客的信心或意图造成严重破坏。与此同时，道德黑客社区也可能考虑在法律框架之外实施自我强加的行为准则。