Понимая склада ума хакера, с точки зрения сетевой безопасности может оказаться не очень полезным брать в штат сотрудника подобного направления, однако большинство компаний предпочитают привлекать настоящих хакеров или вставших на пусть исправления black hat специалистов, специализирующихся на уничтожении информации.
По мнению Пауля Даклина, главного технического специалиста компании Sophos, хорошим разработчикам антивирусного программного обеспечения и сотрудникам, выявляющим вредный программный код, потребуется “гораздо больше” знаний, чем настоящему "черношляпнику" – тому, который выискивает слабые места в защите с целью нанесения ущерба. В отличие от профессионалов сетевой безопасности, “черным” хакерам не надо “обеспечивать абсолютную безопасность их продукта” – так заявил Даклин ZDNet Asia во время своего пребывания в Сингапуре. “Им не приходиться беспокоиться о чужом вредоносном коде и они не ограничены жесткими сроками”. “Я не знаю, почему некоторые люди считают, что хакеры, создавшие
10,20 или даже 100 вирусов, могут успешно разрабатывать антивирусные технологии, способные бороться с 200,000 разными битами вирусов”.
Даклин утверждает: “Давайте предположим, что вас убили в перестрелке. По мере того, как вы будете приходить в бессознательное состояние, вы поймаете себя на том, что повторяете – Боже, как я надеюсь, что оперирующий меня хирург окажется уличным бандитом, потому что он должен прекрасно разбираться в огнестрелах, ведь он сам стрелял в людей!” Вы ведь не будете так думать?
Он отметил, что в настоящее время имеется множество бывших “черных” хакеров, которые “очень и очень умны” и обладают “некоторыми принципами и моральными устоями”, которые смогли переквалифицироваться в отличных сотрудников служб сетевой безопасности. Однако, при равным прочих условиях, Даклин вовсе не уверен, что он принял бы к себе на работу человека, набравшего опыт и знания, подобным незаконным путем. Подобного мнения так же придерживается и Марк Брегман, вице-президент компании Symantec, считающий, что не стоит нанимать бывших “черных” хакеров и прочих хакеров подобного класса, даже если они, по их утверждению, встали на путь исправления.
Брегман так же добавил, что факт принятии в штат человека, известного в прошлом как “черного” хакера или просто человека с хакерским криминальным прошлом, довольно смелый поступок, особенно учитывая тот факт, что неизвестно, где по мнению этого человека проходит черта между этикой и ее отсутствием.
По мнению Алоизиса Шонга, регионального директора компании PIPC, занимающейся вопросами сетевой безопасности, немаловажное значение так же имеет “душевная целостность” кандидата и способность хранить благоразумие. Если кандидат не обладает такими способностями или не заслуживает доверия, даже если он смог обнаружить некоторые важные проблемы в корпоративной сети, с ним могут возникнуть проблемы. Во-первых, скорее всего никто не будет ему доверять, а во-вторых, он может наниматься преследуя собственные цели, например изнутри вскрыть дыры в защите.
Если компания решает принять в штат бывшего хакера на должность консультанта по вопросам сетевой безопасности, рекомендуется вводить его в курс дел постепенно, начиная с маловажных областей и только потом, когда доверие к нему возрастет, можно предоставить ему доступ к важнейшей информации компании - так считает Шонг. Как не стоит вводить политику дискриминации бывших “черных” хакеров, так же не стоит вводить и политику предпочтения бывшим “черным” хакерам. В целом, нужно всегда быть осторожным при наборе в штат сотрудников и не давать им сразу полный расклад, а сначала дать им возможность заслужить доверие.
