Koordinuodamos kibernetinių spragų atskleidimą įmonės mato naudą

Reklama publikuota: 2021-02-01
Pažeidžiamumų paieška. Bendrovės nuotr.
svg svg
Pažeidžiamumų paieška. Bendrovės nuotr.

Kibernetinio saugumo spragas norinčios pašalinti įmonės ir įstaigos vis dažniau naudojasi pagalba iš šalies – siūlydamos atlygį ir apibrėždamos taisykles jos leidžia taikiai nusiteikusiems specialistams brautis į savo sistemas ir ieškoti jose pažeidžiamumų. Ši praktika pamažu skverbiasi ir į Lietuvą. Ekspertai pabrėžia, kad verslo ir kibernetinio saugumo specialistų bendradarbiavimas būtų daug sklandesnis, jeigu įmonės iš anksto nustatytų ir paskelbtų aiškias sąlygas bei taisykles, apsaugančias blogų kėslų neturinčius programišius nuo neigiamų pasekmių.

Rūta Jašinskienė, kibernetinio saugumo įmonės „NRD Cyber Security“ informacijos analizės ekspertė, pasakoja, kad kibernetinio saugumo spragos atskleidimas koordinuotu vadinamas tada, kai informacijos apie aptiktą spragą paviešinimas yra koordinuojamas su subjektu, kurio sistemose ji buvo aptikta.

nuotrauka::1 right

„Svarbu atkreipti dėmesį, kad šis procesas yra kompleksiškas, ir teisingiau jį vadinti programa ar politika, kurios paskirtis – sukurti procesą, kuris apibrėžtų, kokiomis sąlygomis ir kur leidžiama asmeniui ieškoti kibernetinio saugumo spragų, kaip apie jas pranešti sistemų savininkui, kaip efektyviai tokius pranešimus valdyti ir šalinti rastus pažeidžiamumus. Taip aiškiai nusakomos tiek subjekto, tiek  pranešusio asmens teisės ir pareigos, nustatomos informacijos, susijusios su kibernetinio saugumo spragų identifikavimu, viešinimo sąlygos“, — vardija ekspertė.

Reikia aiškumo

Vilius Benetis, „NRD Cyber Security“ vadovas, sako, kad pagrindinis atsakingo ar koordinuoto atskleidimo tikslas – mažinti nesusikalbėjimą tarp įmonės, kurios sistemose aptinkami pažeidžiamumai, ir juos suradusių asmenų.

„Šių taisyklių reikia todėl, kad pažeidžiamumus aptikę asmenys gali būti įvairios specializacijos — ekspertai, ar tiesiog paprasti naudotojai. Jie gali būti iš įvairių šalių, su visokia patirtimi ir motyvacija. Pažeidžiamos IT sistemos savininkai ar valdytojai taip pat gali būti įsidiegę įvairių IT ir saugumo valdymo procesų“, — akcentuoja vadovas.

Kai aiškių taisyklių nėra, pranešimą apie saugumo spragą gavę valdytojai elgiasi ne taip, kaip jiems patiems būdų naudingiausia.

„Daug valdytojų žinią ignoruoja, nebendrauja su pranešėju arba kreipiasi į teisėsaugą dėl programišių atakos. Taip nebūtų, jeigu egzistuotų aiškios taisyklės, būtų sukurta saugi erdvė, kurioje saugumo spragą aptikę asmenys galėtų apie ją pranešti ir aptarti situaciją“, — komentuoja V. Benetis.

Jis vardija, kad atsakingo atskleidimo principus gali nustatyti tiek organizacija savo turimoms IT sistemoms, tiek gamintojas savo produktams, tiek kibernetinio saugumo tyrėjų organizacijos, tiek valstybės. Atsakingo atskleidimo turinys gali apibrėžti, kaip pranešti informaciją apie rastą pažeidžiamumą vadinamosioms „Bug bounty“ programoms: kokiose sistemose, kokių pažeidžiamumų, kuriuo metu galima ieškoti norint užsidirbti ir kokiomis taisyklėmis tuomet vadovautis.

Suvaldo rizikas

V. Benetis teigia, kad  savo tinklalapyje nurodydama, kaip bus elgiamasi kibernetinių spragų aptikimo atvejais, įmonė  pati mažina riziką, kad aptikti pažeidžiamumai eskaluosis – t. y., sukels žalos ar sulauks neigiamos reakcijos žiniasklaidoje. Šiose taisyklėse bendrovė turėtų nurodyti, kaip galima pranešti apie jos sistemose rastą pažeidžiamumą ir ko tikėtis: kokie veiksmai aptinkant pažeidžiamumus yra tinkami, ar galima laukti piniginio atlygio, kokiais atvejais bus kreipiamasi į teisėsaugą.

nuotrauka::2 left

„Dažnai pasitaiko, kad specialistai, pastebėję pažeidžiamumą, nepraneša, nes nori išvengti problemų. Aiški įmonės politika didina tikimybę, kad pažeidžiamumą pastebėjęs asmuo nenutylės. Be to, tai naudingiau pačiai bendrovei: kuo anksčiau sužinoma apie saugumo spragą, tuo greičiau ją galima pašalinti“, – sako vadovas.

Įstatymo pakeitimo projektas

R. Jašinskienė pasakoja, kad Lietuvos teisininkai ir kibernetinio saugumo bendruomenė aktyviai diskutuoja, ar tikrai reikia atsakingo atskleidimo institutą įtvirtinti nacionalinėje teisėje. Nesutariama ir dėl to, ar, vadovaujantis dabartiniu reglamentavimu, galima ieškoti kibernetinio saugumo spragų ir pranešti subjektams, nesibaiminant sulaukti teisinių ar kitų neigiamų pasekmių.

Siekiant, kad pažeidžiamumų ieškotojų veiksmai būtų kuo aiškiau apibrėžti ir kad privatūs asmenys, kibernetinio saugumo specialistai bei entuziastai nebijotų įsitraukti į šalies kibernetinio atsparumo didinimą, Krašto apsaugos ministerija 2020 m. vasarą parengė Lietuvos Respublikos kibernetinio saugumo įstatymo pakeitimo projektą.

„Juo numatoma įteisinti atsakingo ryšių ir informacinių sistemų (RIS) pažeidžiamumų, dėl kurių gali kilti kibernetinis incidentas, atskleidimo procesą. Šis procesas galiotų visiems kibernetinio saugumo subjektams.  Įstatymo pakeitimo projektas sukėlė nemažai diskusijų. Palaikydama šią idėją, 2020 metų rugsėjo 30 d. NRD Cyber Security padėjo KAM organizuoti apvalaus stalo diskusiją“, — prisimena pašnekovė.

Praktika Lietuvoje

R. Jašinskienė pasakoja, kad viešasis sektorius visame pasaulyje vis labiau yra skatinamas taikyti koordinuoto atskleidimo politiką.

„Pavyzdžiui, JAV nuo 2016 m. sėkmingai išbandomos įvairios „Bug bounty“ programos, nutaikytos į Gynybos departamento sritis, tarp jų — „Hack the Pentagon“,  „Hack the Army“, „Hack the Air Force“. Lietuvoje kuriant koordinuoto atskleidimo reglamentavimo nacionaliniais teisės aktais sistemą dar tik žengiami pirmieji žingsniai. Tačiau tai nėra kliūtis, kai kurioms organizacijoms pačioms inicijuoti, pasirengti ir taikyti savo veikloje atsakingo pažeidžiamumų atskleidimo politiką“, — mano ekspertė.

R. Jašinskienė sukonkretina, kad dažniausiai tokias programas pasitvirtina privačios įmonės, kurios ne tik leidžia savo sistemose ieškoti pažeidžiamumų, bet ir numato materialų atlygį už tokių spragų atskleidimą.

„Taip įmonės užsitikrina, kad būtų laikomasi tam tikrų apibrėžtų principų: draudžiama nusikalstama, kenkėjiška veikla, negalima viešinti informacijos apie aptiktus pažeidžiamumus, kol jie nėra eliminuoti arba tai leidžiama tik suderinus su sistemų savininku“, — apie tokios veiklos užkulisius pasakoja R. Jašinskienė.

Ji vardija, kad savo tinklalapyje saugumo spragų pranešimo programą skelbia „Paysera“ (https://www.paysera.lt/v2/lt-LT/saugumas/pranesimai-apie-saugumo-spragas) – joje nurodomos sąlygos,  reikalavimai dalyviams ir galimas atlygis. Įmonė „SpectroCoin“ taip pat kviečia prisidėti prie bendrovės saugumo gerinimo ir pranešti apie jos sistemose rastas klaidas (https://spectrocoin.com/lt/surask-klaida-programa.html).

Viena iš pirmųjų viešojo sektoriaus bendrovių, paskelbusių apie tokios programos įgyvendinimą, buvo Vilniaus miesto savivaldybės administracija, kuri 2020 m. pradžioje pakvietė kibernetinio saugumo ekspertus ir entuziastus dalyvauti atsakingo pažeidžiamumų atskleidimo programoje „Hack me if you can“ (liet. „Surask spragas, jei gali“) (https://vilnius.lt/lt/vilnius-2in/kibernetinis-saugumas/).

„Programos tikslas — kontroliuoti ir apsaugoti savivaldybės, jos įmonių ir įstaigų informacinių technologijų infrastruktūrą, įtraukiant kuo daugiau pilietinės visuomenės narių, galinčių prisidėti prie šių sistemų neatlygintino vertinimo ir tobulinimo. Naudos iš to turi abi pusės: savivaldybė stiprina savo saugą, o specialistai  – gauna realią progą išbandyti įgūdžius ir kaupti patirtį“, — detalizuoja R. Jašinskienė.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Kibernetinės krizės: kaip pasiruošti, kad nepasidarytų karšta Verslo tribūna

Kai tenka susitelkti ir skubiai sureaguoti į kibernetinį incidentą, organizacijoje labai greitai gali...

2021.06.14
Verslas verslui: paslauga gali būti ir tvari, ir ekonomiškai naudinga Verslo tribūna 1

Domėtis gaminių pakuočių tvarumu, ekologija, plastiko rūšiavimu ar net nekilnojamojo turto energetine klase...

2021.06.09
Vilniaus „Grinda“ padvigubino darbo našumą Verslo tribūna

Vilniaus miesto savivaldybės valdoma „Grinda“ sugebėjo prisitaikyti prie pandemijos sukeltų ekonominės...

2021.05.27
NRD Cyber Security kviečia į kibernetinių incidentų valdymo konferenciją Verslo tribūna

Gegužės 27 d., jau trečius metus iš eilės, vyks kibernetinių incidentų valdymui dedikuota konferencija...

2021.05.21
Pokyčių rikiuotėje – savitarnos kasos: automatizacijos galimybės Verslo tribūna 1

Lietuvoje mažėja parduotuvių, neturinčių savitarnos kasų, ir pirkėjų, neišbandžiusių šio apsipirkimo būdo.

2021.05.20
Restruktūrizavimas – vilties toliau veikti suteikianti alternatyva Verslo tribūna 1

Per pandemijos pažymėtus 2020-uosius metus bankrotų skaičius Lietuvoje sumažėjo daugiau nei dvigubai, tačiau...

2021.05.05
Kibernetinio saugumo mokymai darbuotojams: kas yra tikrasis laimėtojas? Verslo tribūna

Mokymai per karantiną buvo pirmoji taupymo eilutė – logiška, tačiau trumparegiška. Po duomenų nutekėjimo...

2021.05.03
Vilniaus „GRINDA“: skaitmeninės priemonės kuria naujos kartos inžinerinę infrastruktūrą Verslo tribūna

Baigusi judrios sostinės T. Narbuto gatvės lietaus nuotekų kolektoriaus rekonstrukciją Vilniaus „Grinda“...

2021.04.29
„Dezifog“ vienu šūviu nušauna du zuikius Verslo tribūna

Pandemijai nesitraukiant, „Dezifog“ tampa vis populiaresne ir itin efektyvia išeitimi, sprendžiant įvairių...

2021.04.26
„StrongPoint“ siūlo neišradinėti dviračio Verslo tribūna

COVID-19 ir šio viruso sukelti padariniai bene stipriausiai kirto mažmeninės prekybos sektoriui. Dažnas...

2021.04.14
Kaip išlikti saugiems skaitmeninėje erdvėje: viena auksinė taisyklė Verslo tribūna 1

Pastaruoju metu viešumoje vienas po kito nuskambėję didelio masto duomenų nutekinimo incidentai daugelį...

2021.04.01
Karantino gelbėjimo planas darbuotojams: edukacija apie savijautą ir pozityvios patirtys Verslo tribūna 1

Pasirūpinti savo darbuotojų psichologine sveikata – viena iš itin išryškėjusių darbdavių užduočių per...

2021.03.31
Naujoje realybėje „Dezifog“ tapo būtinybe Verslo tribūna 1

Praėjusiais metais užklupusi pandemija įmonių organizacijos kultūrą papildė dar viena dedamąja: darbuotojų ir...

2021.03.24
Europos Sąjungos kibernetinio saugumo teisės aktų pokyčiai: ką turime žinoti Verslo tribūna

Šiandieniniame pasaulyje nė viena organizacija ar įmonė nėra visiškai apsaugota nuo kibernetinių atakų ar...

2021.03.12
Neišnaudoto e-komercijos veiklos efektyvumo potencialo – apstu Verslo tribūna 2

Pandemija ir pirmasis karantinas pralaužė ledus įstrigusioje internetinėje prekyboje maisto produktais.

2021.03.09
„Dezifog“– naujas standartas Verslo tribūna

Kauno bendrovė „Efektyvūs saugos sprendimai“ kovoje su tebesitęsiančiu koronavirusu siūlo pasitelkti jų...

2021.02.25
Pakuočių atliekų tvarkymo viešieji konkursai savivaldybėse įsibėgėja Verslo tribūna

Kelerius metus trukusios Lietuvos gamintojų ir importuotojų organizacijų ir Vilniaus miesto savivaldybės...

2021.02.25
Nutikus nelaimei, verslui svarbiausia kuo greičiau grįžt į vėžes Verslo tribūna

Gaisras, dėl kurio visiškai sustojo įmonės veikla, o jai atnaujinti reikalingos elektros nėra ir greitu metu...

2021.02.22
Mokėjimų rinkos naujovės palengvins SVV dalią Verslo tribūna

Daugelį smulkiojo ir vidutinio verslo įmonių pandemija privertė spausti stabdį ar bent jau jungti neutralių...

2021.02.17
Koordinuodamos kibernetinių spragų atskleidimą įmonės mato naudą Verslo tribūna

Kibernetinio saugumo spragas norinčios pašalinti įmonės ir įstaigos vis dažniau naudojasi pagalba iš šalies –...

2021.02.01

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku