https://cyber-web.ru/
Киберпространство - наше будущее

Полезные хакеры — Что компаниям обязательно нужно знать об ответственном раскрытии информации

Ответственное раскрытие информации и этичные хакеры

0 126

Ответственное раскрытие информации — это принцип, которому следуют этичные хакеры, когда обнаруживают нарушение безопасности в компании. В этой статье мы разъясним, что такое ответственное раскрытие информации. Мы также объясним, почему компаниям следует обращать особое внимание на эту информацию и использовать ее, а также дадим первые советы о том, как это сделать.

Что такое ответственное раскрытие информации?

Ответственное раскрытие информации — это раскрытие вновь обнаруженных уязвимостей в системе безопасности. К счастью, существуют независимые этичные хакеры, которые проверяют веб-сайты, программы, приложения и тому подобное на наличие уязвимостей в системе безопасности. Не для того, чтобы использовать их в преступных целях. Но чтобы помочь пострадавшим сторонам устранить эти бреши.

Как правило, этичные хакеры сообщают об уязвимости компании, чья программа, веб-сайт или приложение пострадали. Они предоставляют компании разумное количество времени для устранения бреши. Только после этого они информируют об этом общественность. Цель такого подхода — не дать киберпреступникам воспользоваться уязвимостью.

Полезно знать: Альтернативный подход Responsible Disclosure также известен как Coordinated Disclosure — потому что компании и этичные хакеры координируют свои действия.

Кто или что такое этичные хакеры?

С самого начала этичные хакеры не являются единой группой. Однако у них есть общие черты: Они обладают огромным компьютерным опытом и придерживаются определенной хакерской этики. Иногда — свою собственную, индивидуальную. Например, хакерская этика компьютерного клуба «Хаос». Один из их принципов — «Используй публичные данные, защищай частные». Многие нарушения безопасности ставят под угрозу защиту частных данных. Поэтому этичные хакеры часто чувствуют ответственность за то, чтобы такие бреши в безопасности были закрыты.

В чем разница между ответственным раскрытием и полным раскрытием?

Как выглядит ответственное раскрытие информации о недавно обнаруженных уязвимостях в системе безопасности, не всегда понятно. Многие компании с радостью принимают точные советы от этичных хакеров и прилагают усилия для устранения обнаруженных уязвимостей.

Однако есть и такие компании, которые постоянно бездействуют. В таких случаях этичные хакеры могут выбрать вариант полного раскрытия информации. Тогда они публикуют информацию об уязвимости в открытом доступе — даже если она еще не закрыта. Это решение обоюдоострое. С одной стороны, оно позволяет киберпреступникам узнать о бреши в системе безопасности, которая еще не закрыта. С другой стороны, такая публикация обычно приводит к тому, что на компанию, о которой идет речь, оказывается мощное давление с целью скорейшего устранения этой бреши.

Важно знать: Киберпреступники специально ищут бреши в системе безопасности, чтобы использовать их в своих целях. Поэтому этичным хакерам часто приходится взвешивать вероятность того, что найденная ими брешь в безопасности уже известна хотя бы некоторым киберпреступникам.

Ответственное раскрытие информации с корпоративной точки зрения

Все больше и больше компаний предпринимают усилия по содействию ответственному раскрытию информации для этичных хакеров. Например, устанавливая специальный адрес электронной почты для таких уведомлений или предоставляя им форму.

В некоторых случаях они также предоставляют этичным хакерам информацию о том, какие типы нарушений безопасности имеют к ним отношение и как они обрабатывают сообщения. Такие усилия предпринимаются потому, что компании получают выгоду от незапрошенного опыта этичных хакеров.

Сложный вопрос: тема уголовных обвинений

При обнаружении уязвимостей в системе безопасности этичные хакеры технически могут быть привлечены к уголовной ответственности. Например, если они обнаружат, что личные данные находятся в открытом доступе из-за уязвимости в системе безопасности — и неизбежно просмотрят некоторые из них после обнаружения.

Как правило, компании не сообщают об этичных хакерах в таких случаях. Однако одна крупная немецкая партия сделала это после того, как получила уведомление о нескольких уязвимостях в безопасности одного из своих приложений. В результате крупнейшая в Европе ассоциация хакеров — Chaos Computer Club — объявила, что в будущем она больше не будет сообщать об уязвимостях в системе безопасности этой партии.

Как облегчить ответственное раскрытие информации для вашей компании

Нарушения безопасности могут нанести серьезный ущерб вашему бизнесу. Поэтому содействуйте тому, чтобы этичные хакеры сообщали о своих находках, руководствуясь принципом ответственного раскрытия информации.

  • Обсудите с соответствующими специалистами или отделами, как вы хотите — и можете — обрабатывать сообщения об уязвимостях.
  • Установите специальный адрес электронной почты для уведомлений об ответственном раскрытии информации, например, security@example.com.
  • Создайте форму отчета для получения подробной информации.
  • Разместите контактные данные и, при необходимости, дополнительную информацию на своем веб-сайте, например, www.example.de/security.
  • Сообщите там, среди прочего, о предполагаемых сроках ответа на сообщения и закрытия обнаруженных уязвимостей.
Важно: Если отчет о ваших подготовительных мероприятиях окажется полезным, ответьте на него профессионально, прозрачно и с благодарностью. Это связано с тем, что вы получите пользу от востребованного опыта.

Некоторые примеры того, как другие организации работают с ответственным раскрытием информации:

  • BSI
  • Вооруженные силы Германии
  • Телевизионная станция
  • Мебельный магазин
  • Более полезную информацию можно найти в документе BSI «Работа с уязвимостями. Рекомендации для производителей».

И последнее, но не менее важное: Знание — деньги, даже в случае с уязвимостями безопасности

Как правило, этичные хакеры сообщают о нарушениях безопасности без взимания платы. Это делает еще более важным осознание ценности этой информации. Наем этичных хакеров для целевого тестирования безопасности стоит недешево. Именно поэтому многие крупные компании предлагают вознаграждение за сообщения об уязвимостях в системе безопасности.

Так стоит ли вам также платить вознаграждение за сообщения о нарушениях безопасности? Это в конечном итоге решать вам. Поиск и ответственное, конструктивное информирование об уязвимостях безопасности может стоить этичным хакерам много времени и усилий — и избавить вас от многих проблем. Поэтому мы рекомендуем выражать благодарность и признательность в зависимости от возможностей вашей компании. Возможно, в виде бонуса или посредством особенно популярных раздач или бесплатных продуктов. Лучше всего делать это таким образом, каким вы сами хотели бы видеть вознаграждение.

Если у вас есть дополнительные вопросы по теме «Ответственное раскрытие информации» или вы хотите получить поддержку в создании или обработке таких отчетов, просто свяжитесь с нами.

Интересное на эту тему: Нервы в опасности: мы неправильно держим мобильные телефоны!

Оставьте комментарий

Ваш электронный адрес не будет опубликован.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More