Trendfigyelő

24_Siete_pilares_para_una_vida_en_equilibrio.jpg
Forrás: ITB
ITBN 2017

Segítség, hibát találtam!

Tökéletes, száz százalékig biztonságos szoftver és informatikai rendszer nincs, legfeljebb olyan, amelynek még nem találták meg a hibáját. A közelmúlt IT-biztonsági eseményei azonban azt is megmutatták, hogy nem egyértelműek a tennivalók, ha a hibát egy kívülálló fedezi fel.

Amióta egyre több informatikai rendszer és szolgáltatás érhető el az internetről, folyamatosan nő annak esélye is, hogy a felhasználók olyan hibákba botlanak, melyeket a fejlesztők és az üzemeltetők még nem vettek észre. Tegyük fel, hogy egy alapvetően jó szándékú felhasználó talál sérülékenységet, hiányosságot egy általa használt rendszerben – vetette fel a nem is elméleti lehetőséget az ITBN-en tartott előadásában Mádi-Nátor Anett, a DJP 2.0–IVSZ IT-biztonsági fórum vezetője. Teljesen emberi reakció, hogy valakivel közölni szeretné felfedezését, akkor is, ha ezt nem szenzációhajhászásból és saját maga felmagasztalásának céljából tenné, hanem azért, hogy másokat megvédjen a hiba káros következményeitől. De hogyan tehetné ezt meg úgy, hogy felelősségteljesen járjon el, a lehető legkisebb kárt okozza bárkinek, és nem utolsósorban a hatályos jogszabályokat is betartsa?

 

Tilos vagy nem tilos?

Ezzel kapcsolatban egyelőre több a kérdés, mint a kész és helyes válasz. Mádi-Nátor Anett is inkább kérdéseket tett fel előadásában és a hallgatóság válaszaiból is kiviláglott, hogy milyen sokféleképpen lehet gondolkodni erről a témáról.

Az első kérdés rögtön az, hogy megfelelő-e a hatályos magyar jogszabályi környezet azon esetek kezelésére, amikor egy magánszemély sérülékenységet talál egy nyilvános webes szolgáltatásban. Az információbiztonsági törvény szigorúan szabályozza az üzemeltetők felelősségét, és a büntető törvénykönyv is tartalmaz paragrafusokat arról, hogy az adatokhoz való jogosulatlan hozzáférés bűncselekménynek minősül. Mádi-Nátor Anett szerint azonban a különböző jogértelmezések és eltérő bírói gyakorlatok miatt a jogban mutatkozik némi flexibilitás, és korántsem egyértelmű, hogy egy ügy eljut-e a vádemelésig, pláne a büntetésig.

Mindenképpen érdemes lenne a jogszabályokban is különbséget tenni aközött, hogy valaki erkölcsös módon próbálgatja egy szolgáltatás biztonságát, nem rossz szándékkal jár el, és nem is okoz bajt – mondta kérdésünkre Nemes Dániel, a biztributor elnöke. „Ma büntetésre számíthat, ha valaki jogosulatlanul megkerüli a védelmi rendszereket vagy módosítja az adatbázist. Szerintem megfontolandó lenne, hogy a Btk. kifejezetten mentesítse a következmények alól azt, aki ha ezeket el is követi, de kárt nem okoz, és haladéktalanul jelenti a hibát az üzemeltetőnek” – tette hozzá.

Egy másik határvonal az lehet, hogy valaki a saját gépén futó kódot módosítja egyszerű, különösebb szaktudást nem igénylő módszerekkel, vagy kimondottan a szolgáltató szervereire akar behatolni komolyabb eszközökkel – vetett fel egy másik szempontot Zala Mihály, az EY kibervédelmi szolgáltatások igazgatója.

Azt ugyanakkor mindkét szakember elismeri, hogy nehéz lesz meghúzni a határokat. Mi történik például olyankor, amikor valaki megpróbál aktívan kihasználni egy sérülékenységet, hogy felmérje annak súlyosságát, és eközben – szándéka ellenére – kárt okoz az üzemeltetőnek? Hogyan lehet megkülönböztetni az egyszerű próbálkozást a komoly hackeléstől?

Mádi-Nátor Anett, DJP 2.0–IVSZ IT-biztonsági fórum
Mádi-Nátor Anett, DJP 2.0–IVSZ IT-biztonsági fórum
 

A címzett ismeretlen

De még ha viszonylag egyértelmű is, hogy mit szabad megtennie egy hétköznapi felhasználónak, és mit nem, rögtön adódik az újabb probléma: mit tegyen, ha észrevett egy sérülékenységet? Honnan tudhatja, hogy kit kell értesítenie? Kihez fordulhat bizalommal? – sorolta a kérdéseket Mádi-Nátor Anett.

A magától értetődő válasz az lenne, hogy a rendszer üzemeltetőjéhez, gazdájához. Korántsem egyértelmű viszont annak kiderítése, hogy kit és milyen csatornán lehet keresni. Ezek az információk nem feltétlenül vannak fenn a honlapokon. Kérdés lehet az is, hogy mennyi időt hagyjon a bejelentő az érintett szervezetnek a reagálásra, javításra, és ha a jelek szerint nincs javulás, mi legyen a következő lépés. Szólni például a Nemzeti Adatvédelmi és Információbiztonsági Hivatalnak vagy a Nemzeti Kibervédelmi Intézetnek?

Sokat segíthetne, ha lenne egy civil CERT is, mondja Zala Mihály, amely ezekben az esetekben átvehetné a dolgok kezelését. Ellenőrizhetné a sérülékenység meglétét, felvenné a kapcsolatot az üzemeltetővel, esetleg még tanácsokkal is szolgálna a javításhoz. Mindenképpen nagyon hasznos lenne, ha lennének ajánlások, amelyek egyrészt a cégeknek, szolgáltatóknak magyaráznák el az optimális eljárásrendet (például, hogyan kell egy bug bounty programot megszervezni és működtetni), másrészt a közvéleményt tájékoztatnák arról, hogy ilyen esetben mit kell és mit nem szabad tenni, kihez és milyen módon érdemes fordulni.

Egyvalamit biztosan nem szabad megtenni, ért egyet minden szakértő: a sajtóhoz rohanni. Ezzel szinte minden bizonnyal nagyobb kárt lehet okozni, mint amit az eredeti sérülékenység okozott volna.

 

Jobb tudni, mint…

A végső kérdés, amire választ kell találni, mondta végül Mádi-Nátor Anett, hogy melyik az erősebb társadalmi érdek: az, hogy biztonságos informatikai rendszerek üzemeljenek, vagy az, hogy a kritikus rendszerek kritikus hibái nyilvánosságra kerüljenek. És vajon meg lehet osztani ilyen információkat úgy, hogy annak publikálása ne okozzon nagyobb kárt, mint amekkora kockázatot a sérülékenység eltitkolása jelent?

Ennek az egyensúlynak a megtalálása lesz annak az információbiztonsági fórumnak a feladata, amelyet közösen hoz létre a DJP programiroda és az IVSZ. A fórum tagjai a következő hónapokban kidolgozzák az információbiztonsági sérülékenységek felelősségteljes nyilvánosságra hozatalának koncepcióját, és ezekhez technikai és jogi implementációs ajánlásokat is megfogalmaznak.

Nemes Dániel szerint is rendkívül fontos egy ilyen ajánlásrendszer kidolgozása, amelyhez feltehetően külföldi legjobb gyakorlatokat is adaptálni lehetne a hazai viszonyokra. Mint mondja, nagy hangsúlyt kell fektetni arra, hogy a jogszabályi környezet ne legyen ellentétes az ajánlásokkal. Hiába bátorítják a szolgáltatók a sérülékenységek bejelentését, ha azokat csak olyan módszerekkel lehet felderíteni, amit a törvény büntetni rendel. De biankó csekket sem szabad adni, figyelmeztet Zala Mihály. „Mindenképpen el kell kerülni, hogy ebből üzleti gyakorlatot kreáljanak, például azért keressen valaki kéretlenül sérülékenységeket, hogy aztán felajánlja a szolgáltatásait azok megszüntetésére. Ki tudja, hol állna meg ez a történet, és hány bűnöző kapaszkodna fel erre a vonatra” – tette hozzá a szakember.