W zeszłym tygodniu zakończyła się kolejna edycja konferencji CONFidence. W jej trakcie odbyła się dyskusja panelowa na temat zgłaszania słabości systemowych. Wzięli w niej udział przedstawiciele polskich CERTów, internetowych usługodawców, prywatnych firm i internetowych mediów. W dyskusji również czynnie wzięli udział uczestnicy konferencji.
Padło wiele głosów i kilka ciekawych przykładów. Z tej godzinnej dyskusji wyłaniają się w mojej opinii trzy podstawowe wnioski. Krótko je wypowiedziałem już na zakończenie panelu. W tym pisemnym podsumowaniu chciałbym je rozwinąć.
WNIOSEK PIERWSZY – ZGŁASZANIE SŁABOŚCI TO TAKŻE POLSKI PROBLEM
Czas, w którym uważaliśmy, że problem zgłaszania słabości systemowych w Polsce nie istnieje to dziś historia. To, że nie mamy wielkich fabryk software-owych nie znaczy, że nie ma co zgłaszać. Jesteśmy dużym krajem i mamy wielu internautów, oni tworzą rynek dla dużych dostawców Internetu i sieciowych usług. Bankowości elektronicznej, serwisów społecznościowych czy aukcyjnych. Dyskusji o tym jak zgłaszać i obsługiwać słabości związane z tymi usługami, albo chociażby serwisami e-administracji, nie da się uniknąć. Dlatego trochę martwi brak wśród panelistów przedstawicieli sektora finansowego, choć do wielu z nich zaproszenia zostały skierowane. Miejmy nadzieję, że to rzeczywiście tylko i wyłącznie zbieg okoliczności, że nikt z nich nie mógł się stawić. Warto aby w dalszej części dyskusji wzięli aktywnie udział, bo omawiane na Sali tematy dotyczyły również ich.b
WNIOSEK DRUGI – BRAK REGUŁ POSTĘPOWANIA
To co chyba najbardziej uderzało z wypowiedzi, to to że praktycznie wszystkie strony nie kierują się żadnymi konkretnymi regułami postępowania. Zarówno jeśli chodzi o zgłaszanie jak i późniejszą obsługę. Ta „współpraca” pomiędzy zgłaszającym a właścicielem słabości podszyta jest niedopowiedzeniami. Goliat po cichu oskarżany jest o ignorancję, skąpstwo, złą wolę i zastraszanie zgłaszających. David o szukanie sensacji, ukryte interesy, nieetyczne wyciąganie pieniędzy. I pewnie sporo jest w tych cichych oskarżeniach jest prawdy, dlatego warto to sobie wyjaśniać, a jeszcze bardziej warto tworzyć reguły postępowania. Na świecie znanych jest wiele polityk ujawniania słabości i sposobu ich obsługi. Jeśli nie pokusimy się o stworzenie własnej lub adaptację istniejącej, to będziemy się odbijali od skrajnych rozwiązań typu „full disclosure” i „security by obscurity”.
WNIOSEK TRZECI – GRATYFIKACJE SĄ POTRZEBNE, TYLKO TRZEBA USTALIĆ CO TO JEST
Wszystko wskazuje na to, że w dalszej dyskusji nie da się uniknąć wątku gratyfikacji za znalezienie słabości. Nie ma problemu jeśli za ujawnianiem słabości stoi postawa stuprocentowego działania „pro publico bono”, ale powiedzmy sobie szczerze – to nie jest postawa powszechna. Większość poszukiwaczy słabości liczy na jakieś gratyfikacje. W szczególności jak słyszą, że inni na świecie są skłonni nawet za to płacić. Nie ma wątpliwości, że „niezamawiany audyt” nie powinien mieć miejsca. Jedynie słuszna kolejność jest znana – zamówienie usługi, realizacja usługi. Ale są sytuacje pośrednie kiedy ktoś wykrywa dziurę przypadkowo, albo po prostu sprawdza coś dla swojego bezpieczeństwa bo korzysta z danego produktu. Warto więc próbować ucywilizować ten proces. Może tworzyć środowiska testowe, opłacać znalezienie najpoważniejszych słabości, oficjalnie dziękować i informować o wsparciu zewnętrznym przy usuwaniu słabości. Wachlarz możliwości jest spory.
Nie mam wątpliwości, że to pobieżny zestaw wniosków z dyskusji. Na bazie tego co było powiedziane można by je znacznie rozbudować. Zapewne niektórzy obecni w murach krakowskich Bielen mieliby też swoje propozycje wniosków. Jedno jest pewne – ta dyskusja jest niedokończona i trzeba ją kontynuować. Mam wrażenie, że jest duże oczekiwanie dotyczące stworzenia reguł w tym obszarze, które mogłyby stać się punktem odniesienia dla pojawiających się przypadków.