Informācijas sistēmas mūsdienās glabā prātam neaptverami daudz datu. Liela daļa no tiem ir lietotāju dati, turklāt arvien vairāk cilvēku sāk apzināties informācijas cenu, kā arī to, cik svarīgi saglabāt tās privātumu. Ne velti gan lielas kompānijas, gan ļaunprāši ir gatavi maksāt milzu naudu par citu personu datiem. Tas ir viens no iemesliem, kāpēc ir svarīgi rūpēties par informācijas drošību.
Diemžēl Austrumeiropā, t.sk. Latvijā, daudziem uzņēmējiem un IT nozares speciālistiem nav veselīga attieksme pret informācijas drošību. Turklāt problēma slēpjas ne tikai drošības auditu kvalitātē vai programmatūras testēšanas neesamībā, bet arī attieksmē, informējot vai neinformējot lietotājus par atklātajām problēmām.
Saprotams, ka uzņēmumiem un iestādēm šī var būt sāpīga tēma un tie varbūt nevēlēsies par to neko dzirdēt. Taču tās ir lietas, par kurām ir jārunā, tāpēc šajā rakstā es izklāstīšu savu personīgo viedokli, par to, kāpēc IT drošības problēmas ir jārisina, turklāt atbildīgi.
Nevēlēšanās novērst problēmas
Ir nācies atkal un atkal saskarties ar problēmu, ka, saņemot informāciju par atklātām drošības problēmām, sistēmas uzturētājs nevēlas tās novērst. Pat tad, ja tiek norādīts uz ieteicamajiem risinājumiem! Un šeit es nerunāju tikai par neliela uzņēmuma nevienam neinteresējošo informācijas sistēmu, jo prakse rāda, ka tā rīkojas arī lieli uzņēmumi un valsts iestādes.
Jājautā, vai viņi paši saprot, kāpēc drošības problēmu ignorēšana nav pareizais risinājums. Manuprāt, bieži vien tas ir slinkums un nevēlēšanās kaut ko darīt lietas labā. Šādos gadījumos atklātās ievainojamības atbildīga publicēšana var būt efektīvs veids, kā panākt visām iesaistītajām pusēm optimālu risinājumu. Jāatgādina, ka lietotājs bez šaubām ir iesaistītā puse, taču lietotājs (klients) ir kas daudz vairāk — tikai viņa dēļ eksistē informācijas sistēma.
Iespējams, ka daļa sistēmas uzturētāju nolemj nerisināt šo problēmu, cerot, ka neviens par to neuzzinās, un līdz ar to arī nespēs izmantot konkrēto ievainojamību, taču IT pasaulē Tu nekad nevari būt pilnīgi drošs, ka ļaunprātīgi, savtīgu interešu motivēti cilvēki nav atklājuši to pašu ievainojamību iepriekš. Ne vienmēr tas prasa īpašu sagatavotību vai zināšanas.
Ja nu kāds šo ideju nespēj aptvert, tad palīdzēšu ar iedomāta piemēra palīdzību.
Iedomāsimies — kādas valsts ieņēmumu dienestā tiek atklāta liela drošības problēma, kas ļauj iegūt visas nodokļu deklarācijas. Pirms sistēmas uzturētāji pamana problēmu, šo “caurumu” jau gadiem paslepus izmanto noziedzīgi grupējumi. Kad sistēmas uzturētāji tiek informēti par problēmu, viņi norāda, ka problēma netiks labota, jo neviens par to tāpat neko nezinot, un tas ir risks, ko viņi ir ar mieru uzņemties (akceptē risku). Pēc publiskas ievainojamības izziņošanas, to izmanto hakeri-aktīvisti, kuri medijos publicē iegūtās nodokļu deklarācijas. Sabiedrības sašutuma rezultātā “caurums” beidzot tiek novērsts. Lai būtu interesantāk, iedomāsimies, ka šī nezināmā valsts ir Latvija, līdz ar to, neskatoties uz nodarīto kaitējumu, neviens neuzņemas atbildību par brīdinājumu ignorēšanu un nezaudē savu amatu.
Nevēlēšanās informēt savus lietotājus
Ir gadījumi, kuros sistēmas uzturētāji novērš problēmas, bet neinformē savus lietotājus par to esamību. Ja pastāv iespēja, ka šo problēmu būtu varējis atklāt kāds cits, kas to izmantojis savtīgos nolūkos, lietotāji par problēmu ir jāinformē, lai viņi varētu izvairīties no nepatīkamiem pārsteigumiem.
Ja nu kāds nespēj aptvert arī šo aspektu, atkal palīdzēšu ar izdomātu piemēru. Iedomāsimies, ka pētnieki (kādu laiku pēc tam, kad ar šo jau “paspēlējušies” ļaundari) atklāj nopietnu ievainojamību, ar kuras palīdzību iespējams iegūt visu sistēmas lietotāju e-pasta adreses un paroles. Sistēmas uzturētājs šo problēmu novērš, bet neinformē lietotāju, kā rezultātā jau noplūdušos datus ļaundari izmanto citās sistēmās, kurās lietotājs neapdomības dēļ izvēlējies tādu pašu paroli.
Šādas situācijas gan pasaules, gan pašmāju praksē nav retums. Informējot savus lietotājus par atklātajām problēmām un aicinot tos nomainīt paroles, atjaunināt sistēmas, vai kā savādāk reaģēt, var palīdzēt Taviem lietotājiem izvairīties no nopietnākām problēmām.
Nevēlēšanās izprast situāciju
Visnotaļ interesanti ir tie gadījumi, kuros ievainojamās sistēmas uzturētāji cenšas izmantot spēka vai iebiedēšanas metodes pret pētniekiem, kas atklājuši IT drošības problēmu un ziņojuši par to, ievērojot responsible disclosure (atbildīgas paziņošanas) principus.
Daļa no pētnieka motivācijas, cenšoties noskaidrot, vai IT sistēma ir pietiekoši uzticama, bieži vien ir vēlme pārliecināties par savas vai līdzcilvēku informācijas drošību. Nerekomendējam draudēt ar policiju, tiesu darbiem vai slepkavībām ne CERT komandai, ne pētniekiem, kas problēmu atklājuši, ja vien pētniecības gaitā nav veikta tīša ļaunprātīga darbība un netiek pieprasīta maksa par “problēmas novēršanu”. :)
Pasaules praksē ārpus Austrumeiropas rāda pretēju ainu — lielas un bagātas kompānijas mēdz finansiāli pateikties neatkarīgajiem pētniekiem par problēmu atklāšanu viņu informācijas sistēmās. Droši vien Latvija tam vēl nav gatava un ne vienmēr tas ir nepieciešams, taču noteikti nav vērts ieņemt agresīvu pozīciju, jo ticams, ka drošības pētnieki patiesībā ir palīdzējuši novērst lielākas nepatikšanas Tev un Taviem lietotājiem.
Kopsavilkums
Ceru, ka šis raksts noderēs gan uzņēmējiem, gan sistēmu izstrādātājiem un uzturētājiem, gan topošajiem un esošajiem IT drošības pētniekiem. Beigu beigās vēlos atgādināt, ka pret lietotāju datiem un atklātām drošības problēmām jāizturas atbildīgi. Izvairīšanās no problēmas risināšanas to nekādā veidā nemazina, turklāt, tas tā ir gandrīz visās jomās.
Vēlos arī piebilst, ka es neesmu jurists un šis raksts nesatur juridiska rakstura padomus.
441 thoughts on “Par atbildīgu drošības incidentu atklāšanu”