Sigurnost < otkriti sigurnosne propuste na odgovoran način.

"Osobe koje prijavljuju sigurnosnu ranjivost imaju važnu društvena odgovornost ", izjavio je u četvrtak nizozemsko ministarstvo sigurnosti i pravde, najavljujući smjernice za etičko hakiranje koje je objavio Nacionalni centar za cyber sigurnost (NCSC) u zemlji.

Bijeli šeširi hakeri i sigurnosni istraživači igraju važnu ulogu u osiguravanju IT sustava pronalaženjem ranjivosti, rekao je NCSC. Međutim, centar je ustvrdio da sigurnosni istraživači ponekad nerado otkrivaju ranjivosti tvrtkama, umjesto da koriste medije za objavljivanje ranjivosti, što je nepoželjna praksa jer izlaže rupu prije nego što je ispravljena.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Uz pomoć vodiča, vlada želi pružiti organizacijama okvir za stvoriti vlastita pravila o odgovornom otkrivanju. Ivo Opstelten, ministar sigurnosti i pravde, planira poticati široku primjenu odgovornih smjernica za otkrivanje unutar vlade, rekao je u pismu poslanom parlamentu.

Dok se smjernice objavljene ne utječu na postojeći pravni okvir, potiče stranke da rade zajedno kako bi IT sustavi bili sigurniji, rekao je NCSC. Tvrtke i vlada mogu, na primjer, ponuditi standardizirani on-line obrazac koji bi sigurnosni istraživači mogli koristiti kako bi obavijestili organizaciju ako su pronašli ranjivost, navodi se.

Tvrtka i istraživač također mogu pristati otkriti ranjivost u određenom vremenu okvir. Prihvatljivo razdoblje za otkrivanje softverskih ranjivosti je 60 dana, a razumno razdoblje za otkrivanje teže rješavanja hardverskih ranjivosti je šest mjeseci, priopćio je NCSC. Kada organizacija odluči slijediti ove smjernice, ona bi trebala uključiti u svoju politiku da neće poduzimati pravne radnje protiv etičkih hakera koji se pridržavaju pravila, dodao je.

Nizozemska javno tužilaštvo ipak će zadržati mogućnost progona kad sumnja da su počinjeni zločini, rekao je ministarstvo sigurnosti i pravde.

Preporučena procedura

Osoba koja otkriva ranjivost trebao bi ga izravno i što je prije moguće prijaviti vlasniku sustava na povjerljiv način, tako da drugi ljudi ne mogu zloupotrijebiti curenje. Štoviše, etički haker neće koristiti tehnike socijalnog inženjeringa niti instalirati backdoor ili kopirati, mijenjati ili brisati podatke iz sustava, navedeno NCSC. Alternativno, haker je mogao napraviti popis telefonskih brojeva u sustavu, navodi se u smjernicama.

Hakeri bi se također trebali suzdržati od mijenjanja sustava, a ne ponavljanja pristupa sustavu. Također je obeshrabrena primjena tehnika brutalne sile za pristup sustavu, navodi NCSC. Etički haker mora se dalje složiti da će ranjivosti biti otkrivene tek nakon što su fiksne i samo uz pristanak uključene organizacije. Stranke također mogu odlučiti informirati širu IT zajednicu ukoliko je ranjivost nova ili se sumnja da više sustava imaju istu ranjivost, navodi NCSC.

Iako je odgovoran postupak otkrivanja u principu stvar detektora i NCSC može djelovati kao posrednik ako se izravno priopćava ranjivost.

"Mislim da je to vrlo dobra stvar, osobito kada NCSC djeluje kao posrednik", izjavio je Ronald Prins, izvršni direktor nizozemske sigurnosti tvrtka Fox-IT. Jedan od problema s kojima se suočavaju etički hakeri jest činjenica da se teško shvaćaju ozbiljno ako prijavljuju ranjivost nekoj tvrtki, a oni teško mogu postići pravu osobu, rekao je.Ako se organizaciji kontaktira o sigurnosnoj ranjivosti od strane službene vladine organizacije poput NCSC-a, vjerojatno će to ozbiljnije shvatiti, dodao je. Mrežni obrasci koji su izravno prijavili ranjivost pravoj osobi unutar organizacije također bi mogli pomoći ovom procesu, dodao je.

Iako je malo smjernica etičkim hakerima unutar smjernica, Prins je rekao da razumije zašto je vlada to učinila. Ono sprječava etičke hakere da prelaze granicu, rekao je.

"Vidim da su neki ljudi razočarani" jer je javni tužilaštvo i dalje dopušteno goniti kad to smatrate nužnim, rekao je Prins. Ali to je nemoguće ne učiniti, dodao je. "Bio bih vrlo zadovoljan ako netko prijavi problem koji je našao", rekao je. No, ako ta osoba provede dane koji su mu napuhavali svoje sustave, Prins bi svakako razmotrio podnošenje zakonske žalbe, rekao je.

Loek je dopisnik iz Amsterdama i pokriva online privatnost, intelektualno vlasništvo, otvoreno i internetsko plaćanje za IDG Usluga vijesti. Slijedite ga na Twitteru na @loekessers ili e-mail savjete i komentare na [email protected]