11/07/2019

Budowanie zaufania wraz z Disclose.io

Projekt specjalny

Dlaczego ktoś kupił akurat tego antywirusa? Bo kosztował mniej  Bo miał do niego większe zaufanie, oczywiście. A dlaczego badacze ds. bezpieczeństwa spędzają więcej czasu na analizowaniu tej, a nie innej aplikacji? Ponieważ bardziej ufają firmie, która ją utworzyła. Nie wszystkie firmy cieszą się z informacji o wykryciu w ich produktach luk — a niektóre nawet grożą badaczom podjęciem kroków prawnych.

Ogólnie mówiąc, wybór produktu czy firmy opiera się na zaufaniu. Jeden błąd może zrujnować zaufanie, które trudno jest odbudować. To jak wieża składająca się z tysięcy cegieł — usunięcie jednej z nich może spowodować zawalenie się wieży, lecz aby odtworzyć budowlę, należy ostrożnie kłaść cegły obok siebie tysiące razy. To trudne i czasochłonne zadanie.

Bezpieczna przystań dla badaczy

W Kaspersky chcemy, aby nasi obecni i potencjalni Klienci ufali nam, dlatego budujemy tę wieżę cegła po cegle i dbamy o nią. Niedawno uruchomiliśmy inicjatywę Global Transparency Initiative. Mamy nadzieję, że ten sposób pokazujemy, na ile transparentna jest nasza firma. Zwiększyliśmy również nasze wydatki na program bug bounty. Teraz z radością możemy poinformować, że dołączyliśmy do projektu Disclose.io firmy Bugcrowd, aby zagwarantować, że my również nie będziemy atakować prawnie tych, którzy chcą poszukać w naszych produktach ewentualnych luk.

Firma Bugcrowd uruchomiła projekt Disclose.io in we współpracy ze znanym badaczem ds. bezpieczeństwa, Amitem Elazariem, w sierpniu 2018 r. Jej celem jest zapewnienie jasnych ram prawnych, które zabezpieczą organizacje i badaczy zaangażowanych w programy bug bounty i pozwalające ujawniać lukiProjekt Disclose.io oferuje zestaw umów zawieranych między badaczami a firmami. Wszystkie firmy, które dołączą do programu Disclose.io, akceptują postanowienia tych umów — to samo dotyczy badaczy. Umowy te nie są skomplikowane; czyta się je szybko i są napisane zrozumiałym językiem (nie mają setek podrozdziałów i klauzuli napisanych małą czcionką, rozmieszczonych w różnych miejscach, które mogą skutecznie zniechęcić do przystąpienia do każdej umowy prawnej). Najważniejsze terminy można znaleźć w serwisie GitHub, co zwiększa przejrzystość umowy; dokumentów opublikowanych w serwisie GitHub nie można modyfikować w sposób niezauważalny dla społeczności użytkowników.

Umowy te zachęcają firmy do tego, aby nie karały badaczy za ich pracę, lecz współpracowały z nimi w celu zaakceptowania istnienia błędu i podjęcia działań mających na celu jego wyeliminowanie, a także uznania ich wkładu w bezpieczeństwo danego produktu. Z drugiej strony umowy te wymagają od badaczy odpowiedzialnego postępowania po wykryciu danej luki — na przykład nie mogą oni publicznie ujawniać faktu wykrycia luki, dopóki nie zostanie ona załatana, nie mogą nadużywać danych, do których uzyskają dostęp, a także nie mogą wymuszać od producentów pieniędzy.


Podsumowując, przekaz Disclose.io jest jasny: „Drodzy badacze i drogie firmy, jeśli oboje będziecie zachowywać się wobec siebie w porządku, skorzystacie na tym”. Jeśli chodzi o nas, absolutnie się z tym zgadzamy, dlatego wspieramy projekt Disclose.io i zapewniamy bezpieczną przystań dla badaczy, którzy chcą znaleźć słabe punkty w naszych produktach.

Oczywiście skorzystają na tym również nasi klienci. Im bardziej dany produkt lub usługa będzie analizowana przez społeczność takich badaczy, tym bardziej będzie bezpieczna. W przypadku rozwiązań zabezpieczających największy możliwy poziom ochrony to przecież konieczność.