Az etikus hacking során azoknak az információknak az integritására is ügyelni kell, amelyek kényes voltáról a megrendelőnek - esetleg - nincs tudomása. Ezek védelmét ugyancsak az együttműködési megállapodásban kell rögzíteni. Vagyis az etikus hackerek szempontjából minden adat szenzitív, és ennek megfelelően kell eljárniuk.
A vizsgálatokat üzemidőn kívül kell elvégezni, nem akadályozhatja a vállalat működését, illetve minden fázis előtt megfelelő visszaállítási pontokat kell létrehozni.
Naprakész a jogi szabályozás
A magyar jog az etikus hacking szempontjából naprakésznek tekinthető - állítja Mayer Erika.
A jelenleg hatályos Btk. 300.C.§-a értelmében ugyanis:
"Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel büntetendő.
(2) Aki a) számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz, b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza, vétséget követ el, és két évig terjedő szabadságvesztéssel büntetendő."
A kulcsszó ebben az esetben a jogosulatlanul. Mivel viszont az etikus hacker megállapodik a megrendelővel, így ez a tényállási elem hiányzik, tehát bűncselekményt nem követ el. A szerződés pedig egy Ptk. szerinti megbízási szerződés.
Mindez alig tér el a világban uralkodó jogi szabályozástól, amelyben értelemszerűen irányadóak az Egyesült Államokban meghozott törvények. A Computer Fraud and Abuse Act (Számítógéppel elkövetett csalás és visszaélés), valamint a többek között a terrorizmus fogalmát is definiáló 2001. októberi USA PATRIOT Act alapján az ethical hacking jogszerű abban az esetben, ha valamilyen felhatalmazás alapján történik a behatolás. Ráadásul a kormányzati számítógépes rendszer része egy olyan kockázatkezelő program is, amelynek keretében megbíznak külső cégeket, illetve személyeket, akiknek célja a biztonsági rendszerek gyengeségeinek feltérképezése és a folyamatos biztonsági fejlesztések tesztelése.
Természetesen bőven akad megrendelés az amerikai kormányzattól függetlenül is. Emlékezetes volt például a Facebook tavalyi felhívása: jutalmat adott azoknak, akik segítenek megnehezíteni a közösségi oldal ellen irányuló támadásokat. A program első 21 napja alatt a Facebook negyvenezer dollárt fizetett ki azoknak, akik biztonsági rést fedeztek fel a rendszerben.
A program során volt olyan biztonsági szakember, aki 7000 dollárt kapott hat komoly biztonsági hiba bejelentéséért.