Як ми хакнули Prozorro? Погляд очима юриста

23.10.2019, 10:56
884
1
Анна Поволокіна
Chief Legal Officer ДП «ПРОЗОРРО»

Уявіть, що одного дня до вас заходить ваш ІТ-спеціаліст зі словами «ми хочемо щоб нас зламали». І тут наче б то має включитися бажання зупинити його, супротив та всі можливі варіанти, щоб не дати йому цього зробити. Тільки переважає зовсім інше бажання, про яке ми й поговоримо.

Маючи в адмініструванні систему з інформацією про всі публічні закупівлі держави — кібербезпека постає одним з пріоритетів, тому варіант «давайте не проводити подібні заходи» не розглядався. А як тоді знайти наші слабкі місця?

Тому було вирішено провести Bag bounty. Bag bounty (Баг-баунті) — це процес, в якому організація залучає сторонніх фахівців з кібербезпеки (в ІТ-сфері їх називають «білі хакери» або «рісьорчери») для тестування програмного забезпечення на вразливості за монетарну винагороду. За кожну знайдену уразливість (баг) хакер отримує винагороду (баунті).

Для розуміння варто розмежувати загальне застосування понять кібербезпеки, яка являє собою безпеку ІТ-систем (для програм та обладнання) та інформаційну безпеку, що є безпекою інформації організації, в тому числі в ІТ-системах.

Закон України «Про основні засади забезпечення кібербезпеки України» наділяє кібербезпеку надважливим змістом та визначає її як захищеність життєво важливих інтересів людини та громадянина, суспільства та держави під час використання кіберпростору. Цим законом було запущено комплексний процес регулювання кібербезпеки, як окремої та важливої галузі. Разом з тим безпосередньо визначення «баг-баунті» в законодавстві ви навряд чи знайдете, втім маємо надію, що це питання часу. Останні тенденції в нормотворенні вказують на те, що в недалекому майбутньому нас все ж таки чекає чітке та прозоре встановлення правил у сфері інформаційних технологій, що не аби як тішить юристів ІТ-компаній.

Повертаючись до суті питання. У випадку якщо ви так само щасливий адміністратор державного ресурсу не проводити баг-баунті у вас так само немає підстав, втім за певних умов:

- найперше і найголовніше проводити цей процес в рамках тестового середовища. Сканування продуктивного середовища (саме таку назву має державний «баг-баунті») проводиться Державною службою спеціального зв’язку та захисту інформації України відповідно до Порядку, затвердженого наказом Адміністрації Держспецзв’язку та як вже зрозуміло «без відриву від виробництва» - на продуктивному середовищі;

- повідомити про заплановані заходи ваш уповноважений орган (власника) за наявності такого та органи до компетенції яких належить питання кібербезпеки. Чітко поясніть що, де, коли і у який спосіб ви плануєте робити;

- нагадати ІТ-спеціалістам, що тестове середовище не має містити будь-яких «чутливих даних», зокрема не мітить персональні дані та будь-яку інформацію, що може бути кваліфікована як інформація з обмеженим доступом або така, яка розкриє можливість доступу до продуктивного середовища без відома адміністратора;

- при підписанні договору з підрядником зверніть особливу увагу на NDA. Це має бути найліпший варіант розділу «конфіденційність», який ви могли б застосувати у ваших договорах.

Ось і все, час починати: шукати спеціалістів та розпочинати піар-компанію, проводити баг-баунті, отримати звіт за його результатами, використати отриману інформацію на 100% та підвищити в рази стан захищеності вашої системи. Врешті решт впевнитися, що все з нею було гаразд і дати вашим спеціалістам з інформаційної безпеки міцно виспатися.

Варто відверто зізнатися, ми хакнуті та щасливі, а ви?

Подготовлено специально для Платформы ЛІГА:ЗАКОН
Связаться с редактором

Войдите, чтобы оставить комментарий
Рассылка новостей
Подписаться