Divulgarea Coordonată a Vulnerabilităților – componentă esențială a securității cibernetice

2017/03/20
Popularitate 1144

Foto: CERT-RO

Viteza inovării tehnologice și a lansării pe piață de noi dispozitive, programe informatice și servicii digitale duce la imposibilitatea depistării și eliminării în timp util a tuturor vulnerabilităților. Ca urmare, numărul mare și complexitatea amenințărilor și incidentelor de securitate cibernetică[1] ce exploatează vulnerabilități ale programelor, serviciilor și sistemelor informatice este în continuă creștere.

Vulnerabilitățile informatice sunt căutate pentru comercializare pe piața neagră și exploatate activ în atacuri cibernetice, cauzând pierderi însemnate și punând în pericol datele cetățenilor și funcționarea sistemelor și serviciilor societății digitale actuale.

În acest context, contribuția comunităților de cercetători în securitate cibernetică ori a tinerilor talentați și pasionați, dornici să contribuie la îmbunătățirea climatului de securitate cibernetică, devine pe zi ce trece tot mai importantă.

Expresiile ”divulgare coordonată” ori ”divulgare responsabilă” a vulnerabilităților informatice fac trimitere la responsabilitatea față de organizațiile deținătoare sau producătoare, dar mai cu seamă față de utilizatorii sistemelor vulnerabile ce pot fi afectați de publicarea informațiilor cu privire la vulnerabilitățile identificate. În acest context, este de dorit păstrarea unui echilibru între dorința de a semnala public o vulnerabilitate și luarea de măsuri precum notificarea organizației și coordonarea cu aceasta pentru a remedia problema înainte de publicare și cântărirea atentă a consecințelor publicării.

CERT-RO sprijină divulgarea responsabilă și apreciază eforturile pe care le fac persoanele care semnalează vulnerabilități, fie că este vorba despre cercetători independenți, specialiști sau pur și simplu utilizatori pasionați de securitate cibernetică și cu aptitudini în domeniu.

Un caz concret este și cel al lui Roland Bogosi, un tânăr din Târgu Mureș, care, în urma testelor efectuate asupra aplicațiilor bancare instalate pe propriile telefoane mobile, a identificat vulnerabilități a căror raportare și rezolvare a dus la o mai bună securizare a conexiunii dintre aplicație și bancă în unul dintre cazuri, iar în cel de-al doilea caz la o stocare mai sigură a datelor de acces, împiedicând aflarea acestora de către atacatorii cu acces la dispozitive, fizic sau prin intermediul unui troian instalat pe acestea.

Roland Bogosi a notificat băncile privitor la vulnerabilitățile identificate, oferind sprijin pentru remediere prin prezentarea detaliată a vulnerabilităților. Totodată, acesta a contactat și CERT-RO cerând sprijin în demersul său. După confirmarea vulnerabilității echipa CERT-RO a luat legătura cu cele două bănci și a urmărit întregul proces, de la notificare și până la momentul când a fost eliminată vulnerabilitatea, băncile lansând noi versiuni ale programelor de mobile banking.

În astfel de cazuri, încrederea și cooperarea sunt esențiale. În contextul necesității de a primi ajutorul publicului pentru menținerea securității cibernetice, un prim pas pe care toate organizațiile și instituțiile îl pot face și care dovedește în același timp grijă față de utilizatori și clienți îl constituie cooperarea prin mecanisme de raportare coordonată și responsabilă a vulnerabilităților sistemelor și serviciilor informatice.

 

[1] cert.ro/report2016


Postat în: constientizare

Vizualizat de 2725 ori