KAM siekia sudaryti sąlygas veikti baltakepuriams įsilaužėliams

Publikuota: 2020-09-11
Vladimiro Ivanovo (VŽ) nuotr.
svg svg
Vladimiro Ivanovo (VŽ) nuotr.

Krašto apsaugos ministerija (KAM), siekdama koordinuoto ir teisiškai reglamentuoto kibernetinio saugumo bendruomenės įtraukimo į šios srities tobulinimą, parengė Kibernetinio saugumo įstatymo pakeitimo projektą. Juo numatoma įteisinti atsakingo ryšių ir informacinių sistemų (RIS) pažeidžiamumų, dėl kurių gali kilti kibernetinis incidentas, atskleidimo procesą.

Kitaip sakant, ministerija siūlo taisykles, pagal kurias etiški įsilaužėliai, dar vadinami baltakepuriais (angl. white hat), galėtų tyrinėti ir pranešti apie pažeidžiamumus įvairiose sistemose, įskaitant valstybines.

Kol kas Lietuvoje informacinių sistemų spragų, ypač valstybinėse sistemose, geriau neieškoti ir neviešinti, mat praktika rodo, kad tai padarę asmenys paprastai sulaukia ne padėkos, o grasinimų, viešo žeminimo, policijos pareigūnų, kratų ir šaukimo į teismą.

Štai, pavyzdžiui, šiemet „Telia“ nejuokais susiginčijo ir susipyko su kelias saugumo spragas operatoriaus tinkluose radusiu ir paviešinusiu žmogumi. Daugiausia emocijų ir diskudijų gana siauroje IT saugumo ekspertų bendruomenėje tąkart sukėlė ne pačios spragos, o vadinamasis „atsakingas paviešinimas“. Bendruomenė ilgokai diskutavo, ar etiškai ir atsakingai pasielgė spragas aprašęs ir paviešinęs asmuo.

Taip pat priminsime, kad 2016 m. kilo didelis ažiotažas dėl Rinkėjo puslapyje kūrėjų paliktas saugumo spragas paviešinusio asmens veiksmų. Tada iš pilietiškai nusiteikusio vyro, paviešinusio spragas, atsakomybės reikalavo Darius Lazauskas, Rinkėjo puslapį prižiūrėjusios bendrovės „iTree Group“ vadovas.
„Tie žmonės pažeidė įstatymus“, – užuot padėkojęs, visus šalies gyventojus, kurie patikrino, ar žiniasklaidos aprašyta spraga tikrai egzistuoja, nusikaltėliais vadino D. Lazauskas.

VŽ rašė, kad ir e. sveikatos spragas parodžiusiam vyrui gresia baudžiamoji byla.

Siūlo pasitarti

KAM sūlomame Kibernetinio saugumo įstatymo projekte nustatytos sąlygos, į kurias atsižvelgiant būtų galima teisėtai ieškoti RIS pažeidžiamumų. Juos aptikę ir pagal įstatyme nustatytas sąlygas pranešę asmenys galės jaustis ne tik prisidėję prie didesnio kibernetinio saugumo užtikrinimo, bet ir būti ramūs dėl savo teisinės padėties.

Ministerija, siekdama įtraukti suinteresuotas institucijas, tokias kaip teisėsauga, į diskusiją apie siūlomą naują teisinį reglamentavimą, rugsėjo 30 d. organizuoja diskusiją „Atsakingo kibernetinio saugumo pažeidžiamumų atskleidimo reglamentavimas Lietuvoje“. Renginį KAM organizuoja kartu su UAB „NRD Cyber Security“.

„Natūralu, kad verdant gyvenimui, mūsų aplinkoje atsiranda skylių, lūžusių lentų, suskilusių šaligatvio plytelių ir pan. Dažniausiai turime galimybę apie tai pranešti miesto savivaldai. Tačiau kibernetinėje erdvėje iki šiol dar daug nežinomųjų – t.y. nėra aišku, ar pranešus apie aptiktą pažeidžiamumą, nepatrauks baudžiamojon atsakomybėn, o gal iš viso niekas neatkreips dėmesio? Įvedus atsakingo RIS pažeidžiamumų atskleidimo reglamentavimą, bus mažiau neaiškumų, aiškesni vaidmenys, atsakomybės ir jų ribos. Taip pat, toks reglamentavimas – brandos požymis, todėl tokios pastangos tik sustiprins Lietuvos įvaizdį tarptautinėje kibernetinio saugumo bendruomenėje bei įvairiuose reitinguose“, – sako Vilius Benetis, „NRD Cyber Security“ vadovas.

Yra ir gerų pavyzdžių

Bendrai pasaulyje pažeidžiamumų atskleidimas laikomas atsakingu ir etišku tik tuomet, kai informacija apie aptiktus pažeidžiamumus yra, visų pirma, pateikiama pačiai organizacijai, kurios tinkle, sistemoje ar kitame IRT produkte jie buvo aptikti.

Geroji atsakingo RIS pažeidžiamumų atskleidimo praktika teigia, kad svarbu nustatyti ir atitinkamai institucijai pavesti aiškiai apibrėžtas, su pažeidžiamumų atskleidimo koordinavimu susijusias, funkcijas. Tokį vaidmenį atsakingo pažeidžiamumų atskleidimo reglamentavimo procese planuojama paskirti Nacionaliniam kibernetinio saugumo centrui (NKSC).

„Neskelbkime RIS aptiktų saugumo pažeidžiamumų viešai, o praneškite apie jas sistemų valdytojui, suteikdami jam galimybę ištaisyti klaidas. Ankstyvas pažeidžiamumo atskleidimas gali būti piktavalių išnaudotas kibernetinėms atakoms atlikti. Esant tarpininkavimo poreikiui, galite apie pažeidžiamumą informuoti užpildę pranešimo formą NKSC interneto svetainėje. NKSC yra pasiruošusi įvertinti situaciją ir imsis veiksmų, siekdama apie atrastą RIS pažeidžiamumą informuoti sistemos valdytoją, pažymėdama, kad apie pažeidžiamumą buvo pranešta naudojant atsakingo atskleidimo praktiką“, – sako dr. Rytis Rainys, NKSC direktorius.

Iki šiol Lietuvoje atsakingas RIS pažeidžiamumų atskleidimas valstybiniu mastu nebuvo reglamentuojamas. Tačiau verta pastebėti, kad kai kurios organizacijos pačios inicijavo, sudarė ir ėmė taikyti atsakingo pažeidžiamumų atskleidimo politiką. Vilniaus savivaldybė yra puikus to pavyzdys. Šių metų pradžioje ji pakvietė kibernetinio saugumo ekspertus ir entuziastus dalyvauti atsakingo pažeidžiamumų atskleidimo programoje „Hack me if you can“ (liet. „Surask spragas, jei gali“).

Gauk nemokamą TECHNOLOGIJŲ savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Kompiuterių pardavimai augo, bet namų ūkiuose jų nepadaugėjo Premium

Statistikos departamentas (SD) skelbia, kad šiemet asmeninius kompiuterius turi 77%, o interneto prieigą –...

„Eylean“ patirtis: „Lean“ bei „Kanban“ pasiteisina ir IT sistemose Premium

Skaitmeninių bendradarbiavimo sprendimų įmonė „Eylean“, pernai atsiskyrusi nuo bendrovės „Prewise“ ir...

Jungtinėje Karalystėje 5G įrangą tieks „Nokia“

Suomijos „Nokia“ tampa didžiausia įrangos tiekėja britų telekomunikacijos holdingui BT (buvusiai kompanijai...

Technologijos
2020.09.29
Iš 17-os partijų tik 9-oms rūpi inovacijos ir tik 5-ios turi planą Premium 8

Visuotinai sutariama, kad sėkmingos Lietuvos plėtros ir augimo pagrindas yra pažangi ekonomika, grįsta...

Technologijos
2020.09.29
„Bitė“ laimėjo nemažą konkursą JAV 5

„Bitė Lietuva“ laimėjo JAV įmonės „iTraq“ skelbtą paslaugų konkursą ir ryšiu aprūpins apie 100.000 jos...

Technologijos
2020.09.28
„Novian“ grupė turi naują vadovą

IT infrastruktūros paslaugų ir programavimo grupę „Novian“ valdančiai to paties pavadinimo bendrovei pradėjo...

Vadyba
2020.09.28
JAV teisėjas sustabdė draudimą atsisiųsti „TikTok“

Jungtinėse Valstijose ir toliau bus galima atsisiųsti kinišką trumpų vaizdo įrašų programėlę „TikTok“ iš „App...

Technologijos
2020.09.28
ES kova su JAV technologijų titanais pasiekė naujas aukštumas: debesis Premium

Europos Komisija (EK) jau ėmėsi veiksmų, siekdama teisingiau (Europos požiūriu) apmokestinti JAV technologijų...

Technologijos
2020.09.28
„Amazon“ pristatė visą tuntą naujų įrenginių

Kasmetiniame renginyje „Amazon“ šią savaitę pristatė visą glėbį naujų produktų ir paslaugų, įskaitant...

Technologijos
2020.09.26
Užsidegus „Huawei“ pastatui Kinijoje žuvo trys žmonės

Didžiuliam gaisrui nusiaubus statomą technologijų milžinės „Huawei“ tyrimų centrą pietiniame Kinijos Donguano...

Technologijos
2020.09.26
SBA skiria stipendijas Vilniuje studijuosiantiems baltarusiams 9

Pastaruoju metu gerokai padaugėjus Baltarusijos piliečių, siekiančių studijuoti Vilniaus universitete, SBA...

Verslo aplinka
2020.09.26
„Swedbank“ atnaujina verslo mokėjimo kortelių dizainą

Nuo rugsėjo pabaigos „Swedbank“ verslo klientai gaus naujo dizaino mokėjimo korteles, kurios pritaikytos...

Paslaugos
2020.09.26
„Netflix“ įkūrėjas R. Hastingsas: tokio augimo dar neregėjome Premium 3

Reedas Hastingsas. Milijardierius, „Netflix“ įkūrėjas, filantropas. Žmogus, kuris sunaikino „Blockbuster“ ir...

Laisvalaikis
2020.09.26
Naujas konsorciumas skatins skaitmenizavimą ūkyje

Lietuvoje kuriamas skaitmeninių inovacijų centras sieks vidurio ir vakarų Lietuvos regionuose paskatinti...

Technologijos
2020.09.25
ES apskundė milžinei „Apple“ palankų ESBT sprendimą

Europos Sąjunga (ES) penktadienį apskundė Europos Sąjungos Bendrojo Teismo (ESBT) sprendimą, kuriuo...

Technologijos
2020.09.25
Paslaugų startuolis „Discontract“ žengia į Klaipėdą

Lietuvių startuolis „Discontract“, siūlantis meistrų iškvietimo ir namų priežiūros paslaugas, per šiuos metus...

Paslaugos
2020.09.25
Europos kosmoso agentūros konkurse galima pretenduoti į finansavimą pagal 5 programas

Verslas ir mokslas, norintis dalyvauti Europos kosmoso agentūros (EKA) konkurse, galės pretenduoti į...

Gazelė
2020.09.25
„Vinted“ persikėlė į naują biurą Naujamiestyje 8

Internetinės naudotų mados prekių prekybos platformos „Vinted“ Vilniaus biuras iš Žirmūnų persikėlė į...

Statyba ir NT
2020.09.25
Darbo išteklius planuoti „Iki“ padės dirbtinis intelektas  Premium 1

Prekybos tinklas „Iki“ savo parduotuvėse pradeda diegti automatizuotą darbo išteklių planavimo (DIP) sistemą,...

Prekyba
2020.09.25
„Spotify“ įkūrėjas startuolių finansavimui skiria 1 mlrd. Eur 1

„Spotify Technology SA“ įkūrėjas Danielis Ekas investuos 1 mlrd. Eur pradiniam startuolių finansavimui...

Technologijos
2020.09.24

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Valdyti slapukus