Kodėl namus saugome nuo vagių, o kibernetinėje erdvėje nevengiame įsilaužėlių?
Neseniai populiarioje Firefox naršyklėje aptiktas pažeidžiamumas apdorojant SVG formato įskiepius, kurių naudojimas internete įgauna pagreitį. Google Chrome naršyklėje buvo aptikta spraga užtikrinant saugią prieigą prie populiarių USB įrenginių iš naršyklės. Šiais pažeidžiamumų atvejais potencialių aukų kiekis matuojamas milijardais. Kas atsakingas už saugesnės kibernetinės erdvės sukūrimą ir duomenų vagysčių žalos atlyginimą?
Šiemet kibernetinėje erdvėje dominuoja reguliarios naujienos apie sėkmingas kibernetines atakas. Firefox, Google Chrome ir kitos naršyklės įdiegtos beveik kiekviename įrenginyje, todėl tik laiko klausimas, kada spragos, atsirandančios šias programas papildant inovatyviais sprendimais, leis programišiams perimti vartotojų kompiuterių kontrolę iš naršyklių. Kyla natūralus klausimas, kas atsakingas už tokio mąsto žalos atlyginimą, jeigu saugumo spragos būtų sėkmingai išnaudotos. Minėti Firefox ir Google Chrome pažeidžiamumai tėra keli konkretūs atvejai, kada reguliariai testuojant, naršyklėse aptinkami kritiniai pažeidžiamumai. Panašu, kad ir gerą vardą turintys programinės įrangos kūrėjai nespėja užtikrinti saugios inovacijų integracijos arba tiesiog neatidžiai praleidžia programinio kodo klaidas, tampančias kritinėmis spragomis. Panagrinėkime programinės įrangos ir IT sprendimų saugumo klausimą iš įvairių suinteresuotų asmenų pusių. Neretas IT sprendimų kūrėjas pripažįsta, kad atskiras dėmesys saugumui skiriamas tik tuo atveju, kai yra aiškūs kliento poreikiai ir apibrėžti saugumo reikalavimai sutartyje. Kitaip tariant, neturint papildomo susitarimo su klientu, programinės įrangos ir IT sprendimų kūrėjai paprastai neplanuoja papildomų saugumo užtikrinimo žingsnių, negu tai numato standartinės kūrimui pasitelktos priemonės. Viena labiausiai paplitusių nuomonių tarp programinės įrangos priežiūrą atliekančių sistemų ir tinklo administratorių yra tokia, kad jų prižiūrimoje infrastruktūroje bandymų įsilaužti nebūna, o jeigu tokių bandymų ir būtų, tai jų sėkmė greičiausiai priklausytų nuo programinės įrangos spragų, už kurias jie neatsako. Vadinasi, atsakomybę už duomenų nutekėjimą turėtų prisiimti organizacija, įsigijusi nesaugią programinę įrangą. Arba programinę įrangą įsigijusios organizacijos darbuotojai, kurie ja naudojasi. Žiūrint iš programinę įrangą įsigijusios organizacijos pusės, akivaizdu, kad, jeigu organizacija, norėdama skaitmenizuoti savo veiklos procesus, kreipiasi į IT paslaugas teikiančią įmonę, tikėtina, kad ji neturi visų reikalingų kompetencijų įvertinti sukurto produkto saugumą. Todėl logiška, kad esant sprendimo saugumo pažeidžiamumui, organizacija atsakomybės irgi neturėtų pilnai prisiimti.
Atrodo, kibernetinės erdvės dalyviai atsiduria uždarame rate. Vartotojai kaltina blogai veikiantį IT sprendimą, sprendimą valdanti organizacija reiškia priekaištus jį kūrusiai kompanijai, o pastaroji nemato problemų, nes saugumo poreikis nebuvo identifikuotas sprendimo kūrimo metu. Tai rodo tam tikrą visuomenės brandos trūkumą kibernetinio saugumo klausimais.
Cyber Security Academy ekspertai, atliekantys įsilaužimų testavimus įvairiose informacinėse sistemose, teigia, kad net nevykdant rimtų atakų simuliacijų, o paprasčiausiai atsitiktine tvarka skanuojant tinklą, randama nemažai pažeidžiamumų. Apie aptinkamas spragas viešai kalba didelė dalis etiškųjų įsilaužėlių. Taigi, kyla natūralus klausimas - jeigu pažeidžiamumų vis daugėja, kas turėtų rūpintis jautrių duomenų saugumu, kuriam grėsmę kelia būtent nesaugūs programinės įrangos sprendimai?
Atrodo natūralu, kad visų pirma, reikia pradėti nuosekliai kelti tiek programinės įrangos ir sprendimų kūrėjų, tiek ir tų sprendimų naudotojų bei paprastų žmonių sąmoningumą kibernetinio saugumo klausimais. Būtina ugdyti kritišką vertinimą ir atsargumą kibernetinėje erdvėje, priešingu atveju liekame aklavietėje, į kurią veda kaltųjų paieškos. Juolab, kad šių metų gegužės 25-ąją įsigaliojęs BDAR reglamentas sukuria dar daugiau galimybių mojuoti kumščiais, tad teismai tarp IT sprendimų kūrėjų ir jų klientų neišvengiami.
