Center for Cybersikkerhed afviser dansk dusørprogram: Ondsindede hackere kan undgå strafforfølgning

Illustration: Virrage Images/Bigstock
Der er foreløbig ingen planer om at give venlige hackere kontant udbetaling, hvis de finder sikkerhedshuller i offentligt it i Danmark.

Google gør det, Facebook gør det, det amerikanske forsvarsministerium har gjort det, og det amerikanske sundhedsministerium interesserer sig for det.

Bug bounty-programmer eller på dansk, dusørprogrammer, hvor venlige hackere får kontant afregning, når de finder sikkerhedshuller i it-systemer hos organisationer, der altså kører sådan et program.

I Danmark er der dog umiddelbart ingen planer om at indføre noget tilsvarende, så en hacker kunne få penge for at finde sikkerhedshuller i eksempelvis en styrelses it-systemer.

»Vi er bekendt med, at myndigheder i USA har gennemført bug bounties, hvor hackere inviteres til at hacke en given myndigheds hjemmeside for at finde sårbarheder. Vi er ligeledes bekendt med, at den nederlandske regering anvender en anden model - responsible disclosure - hvor hackere, der finder en sårbarhed i en myndigheds hjemmeside, opfordres til at rapportere fundet i stedet for at udnytte eller offentliggøre sårbarheden. Gevinsten er bl.a. frit lejde samt en anerkendelse fra myndighedernes side,« oplyser chef for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, Thomas Lund Sørensen, i en mail til Version2 og tilføjer:

»Der er for nuværende ikke en officiel dansk holdning til hverken bug bounties eller responsible disclosure.«

Bekymringerne

Han forklarer, at en af bekymringerne ved den slags ordninger er, at ondsindede hackere kan bruge det som en en model for, hvordan de kan undgå strafforfølgning.

»Hvis de bliver opdaget under eller efter et hackingforsøg, vil de således kunne sige, at de agerede som led i et officielt program, og at de havde til hensigt at kontakte myndighederne, når de havde indsamlet det nødvendige grundlag for at få deres ’bounty’. Der er også nogle særlige problemstillinger, hvis der som led i en bug bounty faktisk opnås adgang til følsomme data, ligesom der er risiko for, at forsøgene på hacking kan medføre, at centrale netværk går ned – f.eks. som følge af, at en lang række ’legitime’ angrebsforsøg resulterer i en overbelastning,« forklarer Thomas Lund Sørensen.

Han fortæller dog også, at CFCS løbende vil følge udviklingen hos udenlandske myndigheder, der laver bug bounty programmer, og overveje, om de eventuelt kunne give inspiration til en dansk model.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Hacking er noget der sker, eller forventes at ske hele tiden, på alt hvad der er på Internet. En dansk lov forhindrer ikke en kineser, russer amerikaner eller nogen andre i at gøre det, eller giver nogen straf til dem, selvom de opdages. Lovens lange arm rækker kun til Sverige.

Der ligger vist en gammel dom, hvor en portscanning blev anset som hacking, og her mener jeg at vi er helt ude det ekstreme. Vi er begyndt at få love i Danmark ude af trit med virkeligheden. Hvis man ikke kan/vil håndhæve loven, så juster den så den passer.

Bent Jensen

At de næste der får adgang til CSC, lægger alt ud til offenligeheden, hvor efter de sletter alt data og ødelægger boot i alle flash enheder.

Det behøves ikke at være en hacker, måske bare en Indisk medarbejder som kvejer sig, eller bliver lidt sur.

Ivo Santos

»Hvis de bliver opdaget under eller efter et hackingforsøg, vil de således kunne sige, at de agerede som led i et officielt program

Det er da godt et tåbeligt argument, for den lov gælder alligevel ikke for udenlandske statshackere, og ærlig talt så minder det pågældende argument en hel del om det vi har hør om at mænd ikke må skifte børn i vuggestuen fordi nogle mener at alle mænd er pædofile.

I øvrigt vil jeg mene at det er meget bedre at man betaler folk for at finde fejl frem for at straffe folk for det, men det lader åbenbart ikke til at de ansvarlige er i stand til at tænke længere ud over den store bunke pengesedler de får hver måned i løn og bonus.

I øvrigt lykkedes det for mig at hacke en vaskemaskine i min ejendom til at jeg kunne vaske helt gratis, og jeg fadt ud af det ved et uheld, så i følge de ansvarlige burde jeg vel også have en straf for hackning.

Simon Riis Olesen

De skyder sig selv i foden, når de til stadighed ser det som noget kriminelt at indmelde/finde fejl/sikkerheds huller.

Man behøver jo ikke engang at hive det helt store frem, for fx at undersøge om man kan query et bagvedliggende API uhensigtsmæssigt. Men bare det at man prøver bliver set som et hack - jeg behøver altså ikke at lægge serverne ned ved det, og hvis jeg gør, så er der altså noget andet galt..

Hvis jeg da endelig skal rapportere en bug i dag til nogen, sikrer jeg mig virkelig at det ikke vil kunne "misforstås"

Vi sidder en masse kvalificerede folk herude, men vi får "mundkurv" og "håndjern" på - for de ved jo bedre.. suk.
Snæversynethed og kassetænkning præger offentlig it i Danmark.

Lars Nielsen

2 historier fra en hypotetisk arbejdsplads:
1) Nyansat får at vide at nøglekortet til kontoret skal hentes hos sekretæren, men at sekretæren er på ferie de næste to uger.
"Heldigvis" er dørkarmen monteret dårligt, så man kan bare bruge en smør-kniv eller kredit kort til at komme ind.
Dette er også hvad den tidligere indehaver af kontoret gjorde i starten og der kommer ikke nogen vagt og tjekker selv om døren er åbnet uden hverken at tage i håndtaget eller at et nøglekort er tilføjet loggen.

2) Nyansat får at vide at koden til depotrummet med dyrt IT udstyr er 2222 da der i forvejen er 2 kortlæsere for at komme ind i bygningen (undtagen 9-17 hvor de står åbne)

Alle de ansatte kender disse bagdøre.
Men ingen fortæller om dem.
Den nyansatte vil have en VIRKELIG dårlig start på sin karriere ved at anmelde kollegaer til ledelsen.
Efter at have været ansat et par måneder er den ansatte selv så medskyldig at vedkommende frygter sit eget job ved at melde det.

Dette er hvorfor bug bounties virker:
De kan fjerne de bagdøre som ansatte allerede kender, men ikke tør indrapportere af frygt for deres eget job.

Hvis man får en bonus og frit lejde er medarbejderen direkte motiveret til at forbedre sikkerheden.
Uden bug bounty er de finansielt motiveret til IKKE at indrapportere noget.

M.h.t. penetration testing, så er det implicit et krav i den nye persondataforordning; Regulativ 2016/679
(84) the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk.

Ovenstående kan næsten ikke fyldestgøres uden en penetration test, selv om nogle firmaer nok vil foretrække en workshop med hazard identification, så vil en workshop netop ignorere ikke bare "unknown unknowns" men også de ansattes egne bagdøre som ikke bliver præsenteret.

Det ser dog ud til at staten også skal have adgang til denne data:
(82) In order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations

Reglerne for behandling af data under og efter penetration testing er yderligere detaljeret i (81)
Processor = Penetration Tester
Controller = Company
(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject- matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.

Jeg kan varmt anbefale at læse persondataforordningen:
Regulativ 2016/679: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.11...
Direktiv 2016/680: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.11...

Den tager dog nogle dage at komme igennem

Log ind eller Opret konto for at kommentere