Sākumlapa » Viedokļi » Ievainojamību izziņošanas ētiskie principi

Ievainojamību izziņošanas ētiskie principi

Viens no biežiem iemesliem, kāpēc Kaspersky vārds nokļūst nozares mēdiju virsrakstos, ir uzņēmuma ekspertu atklātās un, ievērojot noteiktus principus, izziņotās ievainojamības gan plaši lietojamā programmatūrā, gan industriālajās sistēmās, kas tiek izmantotas rūpniecībā, enerģētikā un citur. Tā, piemēram, lielu rezonansi izraisīja virkne Kaspersky atklāto nulles dienas ievainojamību Windows operētājsistēmā, kuras šauri mērķētos spiegošanas uzbrukumos izmantoja valstu sponsorētie kiberuzbrucēji.

Ne mazāk nozīmīgas ir Kaspersky ICS CERT atklātās ievainojamības attālās administrēšanas rīkos, SCADA sistēmās, rezerves kopiju veidošanas sistēmās, lietu interneta produktos, viedo māju sistēmās, PLC kontrolieros un citās industriālajās komponentēs. Tikai 2019. gadā Kaspersky ICS CERT atklāja 103 ievainojamības minētajās sistēmās un programmatūrā! Arī šobrīd, atverot ASV Iekšzemes drošības departamenta (DHS) vietnes industriālo vadības sistēmu sadaļu, jaunākajā no paziņojumiem mēs redzam informāciju par attāli bīstamām ievainojamībām OpenEnterprise SCADA programmatūrā, kas visā pasaulē tiek izmantota kritiskajā infrastruktūrā (Energy, Chemical, Critical Manufacturing, Water, Wastewater Systems). Ražotājam Emerson par šīm ievainojamībām noziņoja Kaspersky…

Lai ievainojamību izziņošana neradītu vairāk problēmu, nekā atrisina, Kaspersky iesaka ievērot dažus vienkāršus principus.

 

 

Izstrādājot jebkuru sarežģītu IT sistēmu, programmatūru vai aparatūru, gandrīz neizbēgamas ir kļūdas un ievainojamības. Šīs kļūdas bieži atrod nevis darbinieki un tehniskie speciālisti uzņēmumā, kas ražo programmatūru vai aparatūru, bet gan pētnieki ārpus uzņēmuma. Kļūdu un iespējamo ievainojamību novēršana ir kiberdrošības priekšnoteikums, bet kiberdrošība ir arī Kaspersky pētnieku un ekspertu darbības mērķis. Tādējādi galvenais kļūdu un ievainojamību iemesls — cilvēki — ir arī galvenais faktors, kas nodrošina to savlaicīgu atklāšanu un izlabošanu. Tajā pašā laikā nepieciešams apzināties, ka kļūdu labošanas process var radīt jaunus riskus un kļūmes, nevis atrisināt problēmu.

Uzņēmumā Kaspersky tiek ievēroti skaidri un saprotami atbildīgas ievainojamību izziņošanas (responsible vulnerability disclosure – RVD) ētiskie principi — procedūras, saskaņā ar kurām uzņēmums rīkojas, kad atrod ievainojamības citu organizāciju sistēmās. Kaspersky piecu principu pamatā ir uzņēmuma vairāk nekā 23 gadus ilgā darbība visā pasaulē un paraugprakse, jo īpaši Forum of Incident Response and Security Teams (FIRST) Ētikas kodekss. Kaspersky galvenā prioritāte ir lietotāju drošība, tātad to cilvēku un organizāciju drošība, kas izmanto Kaspersky produktus un risinājumus. Tajā pašā laikā uzņēmums respektē visu iesaistīto pušu — indivīdu vai organizāciju, kuru produkts ir ievainojams, viņu klientu (kā iespējamo upuru) un kiberdrošības nozares pārstāvju — kopējās intereses.

 

 

Šo principu ievērošana liek Kaspersky rīkoties caurredzami, atbildīgi un konsekventi, lai padarītu drošāku informācijas un komunikāciju tehnoloģiju (IKT) ekosistēmu. Tomēr, lai šāda pieeja būtu spēkā visā IT nozarē, arī citiem programmatūras un aparatūras ražotājiem un viņu produktu lietotājiem, neatkarīgajiem pētniekiem, regulatoriem un citām ieinteresētajām pusēm ir jārīkojas, līdzīgu motīvu vadītām. Tāpēc Kaspersky ir publiskojuši savus principus, kurus ievēro, atbildīgi atklājot citu uzņēmumu produktos vai sistēmās atrastās ievainojamības.

 

 

Princips #1: veidot uzticību

Noteikta neuzticēšanās ir informācijas drošības pamats. Bet ievainojamības atklāšana bez uzticēšanās vienkārši nebūs efektīva, tāpēc Kaspersky uzskata, ka visu pušu rīcības pamatā jābūt labvēlībai, lai gan uzņēmums, protams, velta laiku un pūles, lai koordinētu darbības un mazinātu jebkādu ievainojamības kaitējumu. Kaspersky uzticas, bet pārbauda, un publisko informāciju par ievainojamību ne jau izklaides nolūkos vai savu ambīciju apmierināšanas labad, bet tikai lietotāju un sabiedrības drošības interesēs.

 

Princips #2: vispirms informēt skarto pusi

Ievainojamības atklāšana ir sarežģīts process, kam var būt daudz šķēršļu, piemēram, iesaistītās puses reakcijas trūkums vai tās nesasniedzamība. Par spīti šādām problēmām ir ļoti svarīgi savlaicīgi sniegt precīzu informāciju skartajiem ražotājiem. Pirmkārt, tad ir iespējams kopīgi koordinēt centienus ievainojamības novēršanā un mazināt risku lietotājiem. Bet lai tā notiktu, ražotājam ir jānodrošina skaidrs un pārskatāms veids, kā paziņot un apstrādāt informāciju par ievainojamībām (vairāk par to, kāds tas ir uzņēmumā Kaspersky, lasiet šeit un šeit).

 

Princips #3: koordinēt centienus

Protams, ka katra ievainojamība ir unikāla. Dažas apdraud tikai atsevišķa produkta lietotājus, citas var ietekmēt vairākas puses (piemēram, gadījumos, kad iesaistīti starptautiskie uzņēmumi ar sarežģītām piegādes ķēdēm). Ievainojamības var ietekmēt arī kritiski svarīgu infrastruktūru un publiskā sektora tīklus, tādējādi apdraudot valsts drošību. Tajā pašā laikā pētnieki un ražotāji nav vienīgās iesaistītās puses; var būt iesaistīti arī regulatori, klienti, neatkarīgi pētnieki un “white hat” hakeri. Gādājot par efektīvu visu ieinteresēto pušu darbības koordinēšanu, Kaspersky izmanto starptautisko paraugpraksi (piemēram, standarta ISO/IEC 29147:2018 prasības ievainojamības izziņošanai). Jo īpaši Kaspersky cenšas, lai visiem dalībniekiem pietiktu laika rūpīgai ievainojamības analīzei un labojuma izstrādei.

 

Princips #4: vajadzības gadījumā saglabāt konfidencialitāti

Ja tehniskā informācija par ievainojamību tiek izziņota pāragri, to var izmantot hakeri. Tāpēc Kaspersky konfidenciālā veidā nodod informāciju tām pusēm, kurām tā ir nepieciešama, lai izstrādātu ievainojamības ietekmes mazināšanas pasākumus, un izmanto drošākos saziņas kanālus informācijas paziņošanai. Tā paša iemesla dēļ uzņēmums vienojas ar ražotāju par atklāšanas noteikumiem un nosacījumiem. Taču tad, ja ražotājs neatbild, Kaspersky — atkarībā no ievainojamības nopietnības, apjoma un riska, kādu tā rada — izziņo informāciju savos saziņas kanālos, turklāt dara to saskaņā ar iekšējo politiku un nozares paraugpraksi, vienlaikus informējot ražotāju.

 

Princips #5: veicināt vēlamo izturēšanos

Par spīti nozares centieniem kibernoziedznieki turpina meklēt un atrod ievainojamības. Tāpēc Kaspersky uzskata, ka nepieciešams atklāti atbalstīt katru, kurš atbildīgi informē par ievainojamībām, ievērojot nozares paraugpraksi informācijas atbildīgas atklāšanas jomā.

Par Kaspersky ētiskajiem principiem (PDF) vairāk varat uzzināt uzņēmuma Starptautiskās caurredzamības iniciatīvas lapā.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 75 = 84

Uz augšu