Nem volt etikus a hekker, de a BKK sem bújhat el a törvény betűje mögé, mondja Frész Ferenc, a Cyber Services Zrt. tulajdonos-ügyvezetője, az etikushekker-képzés hazai megteremtője és vezető arca. Véleménye szerint, ha ez így megy tovább Magyarországon, azzal a jövőnket kockáztatjuk. Vendégcikk.
Rég nem látott vitát váltott ki a magyar ICT szakmában a T-Systems által fejlesztett BKK digitális bérlete körül kialakult helyzet. A saját állítása szerint a rendszer biztonsági hiányosságaira jóindulatúan figyelmet felhívó fiatalembert a T-Systems feljelentése nyomán a Nemzeti Nyomozóiroda kihallgatta, most szabadlábon védekezik a gyanúsítással szemben. A rendszert feltörő fiatalt sokan, beleértve a hazai és nemzetközi médiát is „etikus hekkernek” nevezik, elítélik az érintett vállalatok reakcióját az ügyben, általános vélekedés az, hogy nem büntetni, hanem inkább jutalmazni kellene a tevékenységét.
Szakmai és jogi szempontból azonban semmiképp nem tekinthető etikusnak az, ha valaki felhatalmazás nélkül felkutat és ki is használ egy információs rendszerben megbúvó sérülékenységet, és az így megszerzett információt felelőtlenül megosztja mindenkivel. Nem tekinthető etikusnak az a magatartás sem, hogy az illegális tevékenység során tesztelt rendszerhiányosságok, feltörési módszerekre vonatkozó információk megosztását a rendszert fejlesztő, azt üzemeltető vállalatokkal az elkövető feltételekhez köti, kvázi megzsarolva ezzel a szolgáltatókat.
Frész Ferenc by Oribtal Strangers. Olvasd el a róla szóló cikket a Forbes Nextben!
Sokan emlegetnek bizonyos „bug bounty” programokat, amelyek keretében a vállalatok hozzájárulnak, sőt kifejezetten kérik a közösséget, hogy vadásszanak biztonsági hibákra rendszereikben. Mások a felelősségteljes megosztás (responsible disclosure) elveit emlegetik, amelynek mentén a hekkerek bejelenthetik az üzemeltetők felé a hiányosságokat, biztonsági réseket, úgy, hogy időt hagynak a rendszerhibák kijavítására, és csak az így letelt idő után osztják meg a közösséggel az információt.
Fontos megjegyezni azonban, hogy a „bug bounty” program, mint azt a nevében is láthatjuk, bizonyos keretek között meghirdetett program, van eleje és vége, vannak bizony szabályai. A programban résztvevő hekkerek azzal, hogy regisztrálnak a programba, szerződést kötnek a programot meghirdető vállalattal, így kötelező betartaniuk az ott kikötött szabályokat. Saját szakállukra ekkor sem tevékenykedhetnek.
Hatalmas félreértés, hogy a felelősségteljes megosztás kimerül abban, hogy egy hekker figyelmezteti a vállalatot egy biztonsági hibára, és ha a vállalat nem reagál, akkor fordulhat a közösséghez, sajtóhoz.
A felelősségteljes, etikus viselkedési szabályok nem engedik meg a biztonsági hibák egyoldalú publikálását.
Ilyen esetekben a hibát feltáró felhasználó fordulhat az adatvédelmi, hírközlési hatóságokhoz, fenntartó szervezetekhez, eseménykezelő központokhoz (CERT), ezek a szervek jó esetben kikényszerítik a vállalat együttműködését. Természetesen a jogszabályi megfelelőség, a törvények betartása ezekben az esetekben is kötelező, azaz, függetlenül attól, hogy a szándék jóindulatú vagy sem, minden esetben fennáll az esélye annak, hogy a szolgáltató, vagy bármelyik hatóság feljelenti a hekkert, tekintve, hogy nem volt felkérve, megbízva a rendszer biztonsági vizsgálatával. Az pedig már a nyomozóhatóságok feladata eldönteni, hogy történt-e bűncselekmény, károkozás.
A hazai jogszabályok egyértelműen szabályozzák ezeket a kérdéseket, a szervezeti háttér adott azok kezelésére, nemzetközi viszonylatban is elöl járunk ezen a téren.
Azonban az is egyértelmű, hogy egy vállalat vagy intézmény sem bújhat el a törvény betűje mögé, hiszen attól még, hogy ma már egy hekkertámadás előkészítése is büntethető, például a hatályos információbiztonsági jogszabályok miatt senki nem fejleszthet és üzemeltethet biztonsági hiányosságoktól hemzsegő, ordító szarvashibákat tartalmazó információs rendszereket. A mindenkori vezetés teljes felelőssége az, hogy a rendszerben tárolt céges és magánjellegű információ védve legyen, különös tekintettel a személyes adatokra. A jogszabályi háttér itt is egyértelmű, aki nem így tesz, nem jár el körültekintően, nem tesz meg mindent a védelemért, felelősségre vonható.
Mára teljesen kialakult módszertana van annak, hogyan lehet „security by design” és „privacy by design” alapokon információs rendszereket, internetes szolgáltatásokat fejleszteni és üzemeltetni. Amellett, hogy a tervezők már a tervezéskor figyelembe veszik a biztonsági alapelveket, a rendszer éles indulása előtt sérülékenységvizsgálati módszerekkel, etikus hekkerek segítségével, szerződéses alapon felkutatják az esetleges biztonsági réseket, mert ezek felszámolása után szabad csak üzembe helyezni egy-egy megoldást. Az üzemeltetés során időközönként célszerű megismételni az ilyen vizsgálatokat és a biztonsági auditokat, hogy a rendszerek biztonságos működtetése lehetővé váljon. Ez a biztonságiszolgáltatás-halmaz mára általánosan elérhetővé vált, számos információbiztonsággal foglalkozó vállalat nyújt ilyen szolgáltatásokat.
Még sokkal több tech- és hekkersztorit találsz a standokon, a Forbes Nextben!
A konkrét eset kapcsán a jövőben számíthatunk arra, hogy Magyarországon is megjelennek a „bug bounty” programok, ebben az esetben hirdet is ilyet a T-Systems és a BKK is, de nem szabad elfelejtenünk azt, hogy a hibavadász programok nem helyettesíthetik a biztonságtudatos fejlesztést, ahogy nem helyettesíthetnek egy átfogó sérülékenységvizsgálatot sem. Értelme és hasznosulása ezeknek a programoknak akkor lehet, ha amúgy egy biztonságosan fejlesztett és üzemeltetett rendszer nem ismert hibáinak, nehezen feltárható, speciális tudással kiaknázható biztonsági hiányosságainak felkutatását célozzák, nem pedig a mindenki által letölthető szoftvereket speciális tudás nélkül futtatgató önjelölt hekkerek karrierépítését.
A tét nem az, hogy egy-egy ilyen esetben az illegális tevékenységet folytató, a vállalatokat, intézményeket megzsaroló elkövetőket elítélik-e, vagy nem. Aki kárt okozott a tevékenységével, annak megállapítása mellett vonják is felelősségre, ez mindannyiunk érdeke. A tét ennél sokkal nagyobb.
Ha a vállalatok, intézmények tovább folytatják azt a kibervédelmi értelemben ámokfutásnak nevezhető gyakorlatot, hogy azonnal feltörhető, kompromittálható rendszereket fejlesztenek és üzemeltetnek, ha teret engedünk az illegális hekkertevékenységnek azzal, hogy szemet hunyunk az ilyen tevékenység felett, politikai vitába kezdünk egy-egy információs rendszerrel szemben elkövetett bűncselekmény megítélésében, Magyarország digitális jövőjét kockáztatjuk.
Nem relativizálható a vállalatvezetők, döntéshozók felelőssége, mint ahogy nem relativizálható a károkozás szándékával folytatott hekkertevékenység sem.
A felelősségteljes megosztás intézményét, a „bug bounty” programok elterjedését ösztönözni szükséges, de ahhoz, hogy ez ne „szellemi önkielégítés”, önámítás maradjon, ahhoz az információs rendszereink biztonsági szintjének javítása elengedhetetlen.
Ma az információs rendszereink 60%-a azonnal feltörhető, jól ismert biztonsági hibákat tartalmaz, Magyarország a zombihálózatok területén Európa legfertőzöttebb országa, a döntéshozók, felhasználók biztonsági tudatossága kritikán aluli szinten van. Amennyiben ebben a helyzetben mindenkinek engedjük a rendszerek minden kontroll nélküli vizsgálatát, abból komoly baj lesz. A végső cél az, hogy mindenki a saját felelősségének tudatában tegye, amit tesz a személyes adatok, pénzügyi tranzakciók elektronikus kezelésében, feldolgozásában, valamint az információs rendszerek védelmében.
A szerző a Cyber Services Zrt. tulajdonos-ügyvezetője. A vendégszerző véleménye nem feltétlenül tükrözi a Forbes szerkesztőségének álláspontját!