Podczas tworzenia jakiegokolwiek złożonego systemu informatycznego, oprogramowania lub sprzętu pojawienie się błędów i luk jest niemal nieuniknione. Są one często wykrywane nie przez pracowników i ekspertów technicznych firmy produkującej dane oprogramowanie czy sprzęt, ale przez badaczy zewnętrznych. Wyeliminowanie tych błędów i potencjalnych luk w zabezpieczeniach ma kluczowe znaczenie dla silnego cyberbezpieczeństwa, a kwestią tą zajmują się również nasi naukowcy i eksperci. Zatem główne źródło błędów i niepowodzeń — czyli ludzie — stanowi równolegle kluczowy czynnik w ich wykrywaniu i korekcji w odpowiednim czasie. Warto tu jednak uświadomić sobie, że proces korekcji błędów może potencjalnie być przyczyną powstawania nowych zagrożeń i błędów.
W firmie Kaspersky przestrzegamy jasnych i przejrzystych zasad etycznych w zakresie odpowiedzialnego ujawniania luk w zabezpieczeniach (RVD) — procesu, który stosujemy po wykryciu luki w systemach innych organizacji. W oparciu o naszą ponad 23-letnią pracę o charakterze globalnym utworzyliśmy swoje pięć zasad postępowania, jednak nadal inspirujemy się najlepszymi praktykami, a w szczególności Kodeksem Etyki Forum Zespołów Reagowania na Incydenty i Bezpieczeństwa (FIRST). W każdym przypadku dajemy najwyższy priorytet bezpieczeństwu naszych użytkowników (osób i organizacji korzystających z produktów i rozwiązań marki Kaspersky).
Jednocześnie szanujemy interesy wszystkich zaangażowanych stron: osób lub organizacji, których produkt jest podatny na zagrożenia, ich klientów (jako potencjalnych ofiar) oraz całej branży cyberbezpieczeństwa.
Postępując zgodnie z tymi zasadami, działamy w sposób przejrzysty, odpowiedzialny i spójny, aby zbudować bezpieczniejszy ekosystem technologii informacyjno-komunikacyjnych (ICT). Jednak aby takie podejście działało w całej branży IT, inni producenci — jak również użytkownicy ich rozwiązań, niezależni badacze, organy regulacyjne i inne zainteresowane strony — także muszą kierować się podobnymi zasadami. Dlatego postanowiliśmy opublikować nasze zasady odpowiedzialnego ujawniania luk w zabezpieczeniach oprogramowania innych firm. Należymy do awangardy.
Zasada nr 1. Zbuduj zaufanie
Podstawą bezpieczeństwa informacji jest pewna doza nieufności. Ale ujawnianie luk bez zaufania po prostu nie zadziała, więc zakładamy, że wszystkie strony kierują się życzliwością. Poświęcając swój czas i nakład pracy na skoordynowanie działań i zmniejszenie wszelkich szkód wynikających z podatności, kierujemy si e zasadą „Ufaj, ale sprawdzaj”. Nie publikujemy informacji o słabych punktach dla zabawy ani z pobudek związanych z naszą ambicją, zależy nam wyłącznie na interesie bezpieczeństwa użytkowników i społeczeństwa.
Zasada nr 2. Najpierw poinformuj odpowiednią stronę
Ujawnianie luk w zabezpieczeniach to proces złożony, który może napotkać wiele przeszkód, takich jak brak reakcji ze strony danej firmy lub nawet brak możliwości skontaktowania się z nią. Dostarczanie terminowych i precyzyjnych informacji producentom ma kluczowe znaczenie. Przede wszystkim wspólnie koordynujemy wysiłki w celu wyeliminowania luki i zminimalizowania ryzyka, które zagraża użytkownikom. W tym celu z kolei producent musi zadbać o jasny i przejrzysty sposób zgłaszania i przetwarzania informacji o lukach w zabezpieczeniach (więcej informacji o tym, jak to działa w firmie Kaspersky, znajdziesz tutaj).
Zasada nr 3. Skoordynuj działania
Każda luka jest wyjątkowa: niektóre z nich zagrażają użytkownikom jednego produktu, a inne mogą dotyczyć wielu stron (np. gdy sytuacja dotyczy organizacji międzynarodowej korzystającej ze złożonego łańcuchach dostaw). Luki w zabezpieczeniach mogą również wpływać na infrastrukturę krytyczną i sieci sektora publicznego, a tym samym zagrażać bezpieczeństwu kraju. Jednocześnie badacze i producenci nie są jedynymi właściwymi stronami; czasami sprawa wymaga też zaangażowania organów regulacyjnych, klientów, niezależnych badaczy i tzw. białych kapeluszy. Aby skutecznie koordynować działania wszystkich zainteresowanych stron, kierujemy się najlepszymi praktykami międzynarodowymi (na przykład normą ISO/IEC 29147:2018 w zakresie ujawniania luk w zabezpieczeniach). W szczególności staramy się zapewnić wszystkim uczestnikom wystarczająco dużo czasu na dokładną analizę luk w zabezpieczeniach i opracowanie działań naprawczych.
Zasada nr 4. Tam, gdzie należy, zachowaj poufność
Jeśli informacja techniczna o luce w zabezpieczeniach zostanie ujawniona zbyt wcześnie, mogą z niej skorzystać osoby niepowołane. Dlatego informacje udostępniamy stronom właściwym w sposób poufny, aby mogły one opracować rozwiązania, a następnie opracować najbardziej zaufane i bezpieczne kanały komunikacji w zakresie zgłaszania. Z tego samego powodu negocjujemy z producentem warunki ujawniania informacji. Jeśli jednak nie wykazuje się on żadną reakcją, w zależności od wagi i skali luki w zabezpieczeniach oraz poziomu ryzyka bezpośredniego ujawniamy je za pośrednictwem naszych własnych kanałów komunikacji i zgodnie z naszymi wewnętrznymi zasadami, lokalnymi przepisami i najlepszymi praktykami branżowymi, jednocześnie informując o wszystkim tego producenta.
Zasada nr 5. Zachęcaj do odpowiedniego zachowania
Pomimo wysiłków branży cyberprzestępcy nadal szukają i znajdują luki w zabezpieczeniach. Dlatego uważamy, że należy otwarcie wspierać wszystkich, którzy odpowiedzialnie zgłaszają luki w zabezpieczeniach i przestrzegają najlepszych praktyk branżowych w zakresie odpowiedzialnego ujawniania takich informacji.
Dbajmy o proces ujawniania informacji o lukach w zabezpieczeniach
Jestem przekonany, że jeśli wszystkie strony będą przestrzegać podobnych zasad etycznych, będziemy mogli efektywnie współpracować, a ekosystem ICT stanie się nie tylko bezpieczniejszy, ale także zdrowszy i bardziej przewidywalny dla naszych użytkowników – ludzi, dla których pracujemy.
Więcej informacji na temat naszych zasad etycznych dotyczących RVD można znaleźć na stronie inicjatywy Global Information Transparency Initiative.