Biti etični heker v Sloveniji v letu 2026 pomeni hoditi po tanki liniji med dobronamernostjo in predpisi. Osnovna razlika med etičnim in zlonamernim hekerjem ni nujno v znanju ali orodjih, ki jih uporabljata. Dobro tehnično podkovani posamezniki pogosto obvladajo iste programske jezike, protokole in poznajo iste ranljivosti. Ključna razlika je v namenu, v veliki meri pa tudi v globini vdora oziroma privolitvi.
Zlonamerni heker deluje brez dovoljenja, njegov cilj pa je kraja podatkov, finančni dobiček, izsiljevanje ali povzročanje škode. Etični heker nasprotno deluje s ciljem, da bi prispeval k večji varnosti informacijskih sistemov. Želi poiskati varnostne luknje, preden jih izkoristijo nepridipravi, ter organizaciji pomagati pri njihovi odpravi.
Kot opozarja vodja SI-CERT Gorazd Božič je oznaka "etični heker" sicer zelo raztegljiva in posebnost branže IT. "Nimamo etičnih žeparjev ali vlomilcev, ki bi poskušali vdreti v naše domove in tam puščali sporočila, imamo pa etične hekerje," izpostavlja. Hkrati dodaja, da uradno priznanega naziva etični heker v Sloveniji ni. "Obstajajo tečaji etičnega hekanja, kjer dobite certifikat, ampak ti tečaji niso regulirani. Nad njimi ne bdi nihče, ki bi zagotavljal kvaliteto," pojasnjuje. Zato tudi svetuje, da se podjetja ali organizacije dobro pozanimajo glede referenc etičnih hekerjev, ki jih najamejo za varnostne preglede.
Sistematičen postopek dela
Profesionalni etični hekerji tudi v Sloveniji najpogosteje delujejo v okviru specializiranih podjetij za kibernetsko varnost ali kot samostojni svetovalci, ki izvajajo penetracijske teste. Delovni proces je sistematičen in sledi uveljavljenim metodologijam. Začne se z zbiranjem javno dostopnih informacij o tarči, nadaljuje z iskanjem odprtih storitev in potencialnih vstopnih točk ter z nadzorovanim izkoriščanjem ranljivosti, kot so šibka gesla ali neposodobljena programska oprema. V zaključni fazi profesionalni etični heker preveri, kako globoko bi se lahko napadalec zasidral v sistem, ter pripravi podrobno poročilo z jasnimi priporočili za odpravo pomanjkljivosti. Prav kakovost tega poročila pogosto loči resničnega profesionalca od amaterja.
Se pa za "etične hekerje" šteje tudi posameznike, ki odkrijejo posamezne ranljivosti po naključju ali na lastno pest in o tem nato obvestijo pristojne. "Je pa pomembno, da v tem primeru ne prestopijo določene meje," opozarja Božič. "Te meje niso vselej 100-odstotno določene oziroma so zabrisane, zato se poraja vprašanje, do kam peljati nek postopek?" Tudi če je namen izključno opozoriti na ranljivost, gre "etični heker" lahko predaleč in preseže prag, ko se njegovo ravnanje v Sloveniji – in v večini držav EU – šteje za kaznivo dejanje.
Presoja med etičnostjo in neetičnostjo je bolj enostavna, ko heker uspe odgovorne zganiti k ukrepanju že s tem, ko odkrije neko ranljivost. Božič izpostavlja primer nekoga, ki odkrije ranljivost v nekem Microsoftovem sistemu, in je njegovo delo obče koristno, četudi s tm podjetjem nima pogodbe za iskanje ranljivosti.
Je pa pomembno, da "etični hekerji" svoja odkritja sporočijo korektno na način t. i. odgovornega razkrivanja ranljivosti. "Etika hekerja se pokaže v tem, da ko ugotovi ranljivost, ne gre naprej, ampak opozori nanjo," dodaja Božič. "Če že mora narediti poskus, recimo v državni zbirki podatkov, pa bi bila lahko metoda, da poskuša pridobiti svoje podatke, namesto da izpostavi podatkov drugih." Meja pa je zelo jasno prekoračena, ko najdene podatke javno objavi ali z njimi izsiljuje za nagrado.
Odmevni slovenski primeri
Ob aktualnem primeru dispečarja v ljubljanskem centru za zdravje, ki naj bi med opozarjanjem na nepravilnosti nezakonito posegel v dispečerski informacijski sistem, med bolj odmevne slovenske zgodbe neformalnega "etičnega hekanja" sodi tudi primer iz leta 2014. Tedaj je Dejan Ornig opozoril na varnostne pomanjkljivosti v policijskem komunikacijskem sistemu TETRA in se zaradi očitanih kršitev, ki so obsegale več kot le vdor, znašel v dolgotrajnem postopku. Na koncu je večji del očitkov zastaral, vseeno pa je bil obsojen na pogojno zaporno kazen.
Podobna je zgodba z nedavnim vdorom v sistem Uprave za varno hrano. Posamezniki so želeli opozoriti na slabo varnost, a so v sistem dejansko vstopili brez privolitve in pridobili dostop do osebnih podatkov okoli 900.000 prebivalcev Slovenije, o čemer so kasneje opozorili Informacijskega pooblaščenca. Vdor so nato pod drobnogled vzeli tudi kriminalisti.
Zgodilo se je tudi, da so zanesenjaki v spletnih trgovinah odkrili napake v kodi, ki so omogočale spreminjanje cen v košarici. Namesto da bi podjetje le obvestili, so nekateri opravili "testni nakup" za 0,01 evro, da bi dokazali, da stvar deluje. S tem so tehnično izvedli goljufijo in nepooblaščen poseg v informacijski sistem. Slovenska podjetja so v takšnih primerih pogosto reagirala defenzivno in vpletla policijo.
Slovenska praksa tako jasno kaže, da v očeh zakona dobronamernost ne odtehta čisto vsakega nepooblaščenega dostopa. Za bolj brezskrbno sporočanje ranljivosti pa je vlogo posrednika med lastniki sistemov in hekerji pri nas prevzel SI-CERT. Če heker najde napako in jo prijavi preko njih, se izogne neposrednemu konfliktu s podjetjem, podjetje pa dobi strokovno poročilo namesto grožnje.