Sikkerhedsbrister: Længe ventet vejledning til whisteblowing udgivet

Det skal være slut med at gå hårdt til borgere og brugere for at opdage og anmelde fejl, mener IT-Branchen Illustration: Bakhtiar Zein/Bigstock
Med et nyt kodeks fer det forhåbentlig slut med politi-anmeldelser som tak for at opdage og anmelde sikkerhedsbrister.

IT-Branchen har netop udgivet en vejledning, der en gang for alle slår fast, hvordan man bør gøre, når sikkerhedsbrister opdages. På den måde håber man at undgå flere uheldige episoder med white -og greyhats, der kommer i fedtefadet, når de indrapporterer sikkerhedsbrister.

Læs også: Tidligere hacker-kaptajn: KMD’s hacker-anmeldelse skaber flere black hats

Og der er ifølge IT-Brancheforeningens direktør Birgitte Hass ingen tvivl om, hvordan man grundlæggende bør behandle folk, der rapporterer fejl i it-systemer.

»Man skal som virksomhed eller organisation sige tak til dem, der anmelder sikkerhedsproblemer. Og det vil vi også gøre som brancheorganisation,« siger hun til Version2.

Store konsekvenser

De seneste år har der været flere eksempler på, hvor galt det kan gå, når der er forvirring omkring, hvad man bør gøre - både som indehaver af et hacket system og som anmelder af et problem.

I den såkaldte børnehavehacker-sag blev en opmærksom far dømt for hacking efter at han havde gjort opmærksom på en fejl i et offentligt it-system. Amatørhackeren blev efterfølgende frifundet i Landsretten, men sagen illustrerer ikke desto mindre risikoen man ofte løber, når man anmelder fejl i systemer.

Læs også: KMD forklarer hacker-anmeldelse: »Det var naturligt for os at kontakte vedkommendes arbejdsplads«

En anden meget omtalt sag handler om en it-ekspert, som fandt en svaghed i KMD's pladsanvisnings-system. Af forskellige årsager valgte KMD at politianmelde borgeren.

Udover at det kan have enorme konsekvenser for en privatperson, der anmelder en sikkerhedsbrist, kan det også have en enormt negativ indflydelse på en virksomheds omdømme i sikkerheds -og itkredse. Det afspejles blandt andet i disse kommentarer til en af Version2's artikler om sagen.

Derfor er det i alles interesse, at der er klare linjer for, hvordan man skal anmelde og reagere på en sikkerhedsbrist.

»Det er umuligt at lave nulfejls-systemer, og det er mega vigtigt, at folk føler sig trygge og motiverede til at tage kontakt til dem, der har skabt systemerne,« lyder det fra Birgitte Hass.

Vejledningen er todelt; én del, som virksomhederne skal lægge op på deres sites og systemer som fortæller en borger eller bruger, hvordan man bør anmelde en fejl og én der udstikker retningslinjer for systemejeren selv.

De fire hovedpunkter

IT-Branchens kodeks indeholder følgende fire hovedpunkter:

For det første skal en borger, der anmelder en fejl behandles fair. Dette indebærer blandt andet, at virksomheden ikke anmelder borgeren til politiet, som det ellers før er set flere gange.

For det andet skal systemejerne følge et særligt kodeks for god skik, der fortæller, hvordan virksomheden skal gøre det nemt for en anmelder at kontakte systemejeren og samtidig gøre det klart, hvad anmelderen kan forvente af svar. Konkret anbefaler vejledningen, at man giver en kvittering inden for to dage og et uddybende svar inden for to uger.

Læs også: Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«

For det tredje skriver vejledningen, hvordan virksomheder der har skrevet under på kodekset skal informere hinanden om sikekrhedsbrister uanset hvad. Denne musketér-ed, som de kalder den, betyder at virksomheder uanset om man er konkurrenter eller ej, indrapporterer fejl til hinanden, hvis der er en mistanke om, at andre systemer kan være påvirket.

Sidst men ikke mindst indgår de virksomheder, der har skrevet under på kodekset i en mærkningsordning. På den måde kan folk der finder fejl se, om en virksomhed eller organisation følger kodekset, men der vil ikke blive ført kontrol med de mærkede virksomheder.

Håber på stor tilslutning

indtil nu er listen over underskrifter til kodekset ret kort. For i skrivende stund er det kun IT-Branchen selv og virksomheden ComTeam, der har skrevet under.

»Forslaget er spritnyt, men skabt af branchen selv og derfor forventer vi, at mange af vores medlemmer som minimum skriver under. Ambitionen er, at alle virksomheder, myndigheder og organisationer tilslutter sig,« siger Birgitte Hass.

Hun fortæller desuden, at vejledningen er udarbejdet af et udvalg med flere af IT-Brancheforeningens medlemmer og at der generelt var ‘meget, meget bred enighed’ omkring den nuværende udformning af vejledningerne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Thirup

Men når det er sagt, mener jeg at der vel også burde være et kodeks for, hvad anmelderen må, og ikke må gøre, når de ser om der kan være et sikkerhedshul. Eksempelvis vil det være klogt at man som udgangspunkt understreger, at folk ikke må scanne med automatiserede værktøjer, som kan forstyrre i driften. Udover det, vil det være klogt at understrege, hvis der er sårbarheder, der ikke må testes (eksempelvis stored XSS, hvor anmelderen/testeren jo vil modificere indholdet i et vist omfang)

Men thumbs up for initiativet! Jeg synes helt bestemt det er et skridt i den rigtige retning :)

  • 3
  • 0
Kenn Nielsen

Eksempelvis vil det være klogt at man som udgangspunkt understreger, at folk ikke må scanne med automatiserede værktøjer, som kan forstyrre i driften. Udover det, vil det være klogt at understrege, hvis der er sårbarheder, der ikke må testes (eksempelvis stored XSS, hvor anmelderen/testeren jo vil modificere indholdet i et vist omfang)

Øøøhhh.... ?? Dårlig idé !
Hvis en scanning kan forstyrre driften er dette vel en sårbarhed i sig selv.

Men dejligt hvis 'man' kunne trække 'forstyrrelseskortet' når det bliver for pinligt.

Vi skal passe på vi ikke skaber sikkerhedsbristernes pendant til overvågningens "børneporno-kort" eller "terror-kort".

Det er jo tragikomisk hvis budskabet bliver :

"Du kan roligt anmelde sikkerhedsbrister du har fundet, men hvis de ikke er grelle og indlysende, så forbeholder vi os ret til at 'komme efter dig' fordi, selve det at brugerne bliver utrygge og tilbageholdende med at benytte servicen, kan anses som en driftsforstyrrelse.....Do You feel lucky, Punk ?!"

K

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize