اصول اخلاقی در افشای آسیبپذیری
خطاها و آسیبپذیریها حین توسعهی هر سیستم، نرمافزار یا سختافزار پیچیدهی آیتی تقریباً ناگزیرند. این خطاها اغلب نه توسط کارمندان و متخصصین فنی شرکت –که کارشان تولید نرمافزار و سختافزار است- که توسط محققین برونسازمانی پیدا میشود. حذف این خطاها و آسیبپذیریهای احتمالی کلید امنیت سایبریِ قدرتمند است؛ جایی که محققین و متخصصین ما نیز در آن کار میکنند. بنابراین منبع اصلی خطاها و شکستها همچنین عامل کلیدی شناسایی و اصلاح به موقعشان است. در عین حال، این متوجه شویم این فرآیند اصلاح خطا میتواند بالقوه خطرات و شکستهای جدیدی بیافریند (به جای اینکه مشکل را حل کند) خود بسیار اهمیت دارد.
ما در کسپرسکی خواهانِ اصول اخلاقی شفاف و روشن در فرآیند RVD (افشای متعهدانهی آسیبپذیری) هستیم؛ فرآیندی که وقتی آسیبپذیریها را در سیستم سایر سازمانها پیدا میکنیم دنبال مینماییم. ما 5 اصل خود را مبنای کار جهانیمان - که قدمتی بیش از 23 سال دارد- قرار دادهایم. همچنان نیز از برخی از بهترین اقدامات -مخصوصاً کد اخلاقیاتِ «انجمن تیمهای امنیت و واکنشدهی به رخداد[1]»- الهام میگیریم. ما در هر پروندهای اولویت اصلی را روی ایمنی و امنیت کاربران خود قرار میدهیم (افراد و سازمانهایی که از راهکارها و محصولات کسپرسکی استفاده میکنند).
در عین حال علایق سایر طرفهای دخیل را نیز ارج مینهیم: افراد یا سازمانهایی که محصولشان، مشتریهایشان (شاید بالقوه مجرم باشند) یا به طور کلی صنعت امنیت سایبریشان آسیبپذیر است. پیروی از این اصول تضمین میدهد که ما مسیری پایدار، متعهدانه و روشنی را در راستای ساخت اکوسیستم فناوری اطلاعات و ارتباطات (ICT) پیش گرفتهایم. با این حال، برای اینکه چنین رویکردی در کل صنعت آیتی بازدهی داشته باشد، فروشندگان دیگر –و کاربرانشان، محققین مستقل، رگولاتورها و سایر طرفهای علاقمند- همچنین میبایست چنین محرکهای انگیزشی را راهنمای خود قرار دهند. از این رو، تصمیم گرفتیم اصول خود را در راستای افشای آسیبپذیری پیداشده در سایر نرمافزارهای شرکتها نشر دهیم. با ما همراه بمانید.
اصل شماره 1: ایجاد اعتماد
بنیاد امنیت اطلاعات میزان مشخصی از بیاعتمادی است. اما افشاسازیهای آسیبپذیری بدون اعتماد در حقیقت کاری از پیش نخواهد برد؛ بنابراین ما خیرخواهی را انگیزهی تمامی طرفها فرض میکنیم، هرچند البته برای هماهنگ کردنِ اقدامات وقت و انرژی میگذاریم و هرگونه خسارات ناشی از آسیبپذیری را کاهش میدهیم- اعتماد کنید اما اعتبارسنجی یادتان نرود. ما اطلاعات مربوط به آسیبپذریها را برای سرگرمی یا جاهطلبی منتشر نمیکنیم؛ تنها زمانی این کار رانجام دهیم که پای ایمنی کاربران و جامعه در میان باشد (و البته زمانی که این کار به نفع کاربران و جامعه باشد).
اصل شماره 2: زود اطلاع دادن به طرفِ آلودهشده
افشای آسیبپذیری فرآیند پیچیدهای است که میتواند با موانع بسیاری از جمله شرکتکنندگان غیرمتعهد یا غیرقابلدسترسی مواجه شود. با وجود این مشکلات، ارائهی اطلاعات دقیق و به موقع به فروشندگان آلوده مهم و حیاتی است. ابتدا، طی مشارکتی تلاش میکنیم تا ریسک کاربری به حداقل خود رسیده و آسیبپذیری حذف شود. برای این منظور، در عوض فروشنده باید روشی روشن و واضح برای گزارش دادن و پردازش اطلاعات پیرامون آسیبپذیریها به ما بدهد.
اصل شماره 3: تلاشهایی هماهنگ
بدیهی است که هر آسیبپذیریای منحصر به فرد است. برخی کاربران را در مورد یک محصول واحد تهدید میکنند و برخی دیگر ممکن است چندین طرف را آلوده کنند (برای مثال در مواردی که پای شرکتهای بینالمللی با زنجیره تأمینهای پیچیده در میان باشد). آسیبپذیریها همچنین ممکن است زیرساختهای مهم و نیز شبکههای بخش عمومی را تحتالشعاع قرار دهد؛ بدینترتیب امنیت ملی مورد تهدید واقع خواهد شد. محققین و فروشندگان تنها طرفهای مربوطه نیستند؛ بلکه رگولاتورها، مشتریان، محققین مستقل و هکرهای کلاهسفید نیز در این امر دخیلند. ما به منظور هماهنگی مؤثر بین تمامی سهامداران از بهترین اقدامات بینالمللی به عنوان راهنما کمک میگیریم (به عنوان مثال استاندارد ISO/IEC 29147:2018 برای افشای آسیبپذیری). ما به طور خاص سعی داریم زمان کافیای برای تحلیل جامع آسیبپذیری و توسعهی اصلاحات در اختیار تمامی شرکتکنندگان قرار دهیم.
اصل شماره 4: حفظ اسرار در صورت لزوم
اگر اطلاعات فنی در خصوص یک آسیبپذیری اوایل فرآیند افشا شود، مهاجمین میتوانند از آن سوءاستفاده کنند. از همین روست که اطلاعات را به صورت محرمانه با طرفها به اشتراک میگذاریم؛ طرفهایی که باید اقداماتی جهت تخفیف این تهدیدها اتخاذ کرده و از طریق مطمئنترین و امنترین کانالهای ارتباطی برای گزارش فعالیت داشته باشند. درست به همین دلیلی که اشاره کردیم، در مورد شرایط و قرائن افشا با فروشنده پای مذاکره میرویم. با این حال، اگر فروشندهای پاسخگو نبود، بسته به شدت و مقیاس آسیبپذیری و فوریت خطر این افشاسازی را از طریق کانالهای ارتباطی خود انجام میدهیم. همچنین این افشا را بر اساس خطمشیهای داخلی، رگولاسیونهای لوکال و بهترین اقدامات صنعتی خود انجام پیش میبریم؛ همهی اینها درحالی اتفاق میافتد که فروشنده کاملاً به امور واقف است.
اصل شماره 5: داشتن رفتاری مطلوب
باوجود تلاشهای صنعت، مجرمان سایبری همچنان به دنبال راهی برای پیدا کردن آسیبپذیریاند. بنابراین، به گمان ما حمایت آشکارای هر کسی که وظیفهی گزارشدهیِ آسیبپذیریها را دارد بسیار اهمیت دارد.
عقیده ما بر این است که اگر همهی طرفها به یک سری اصول اخلاقی مشابه رجوع کنند قادر خواهیم بود دست به دست هم اکوسیستم ICT را نه تنها امنتر سازیم که همچنین آن را برای کاربران خود (افرادی که ما برای آنها کار میکنیم) سلامتتر از قبل و قابلپیشبینیتر کنیم.
[1] FIRST
منبع: کسپرسکی آنلاین
تنظیم:روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)
- ۹۹/۰۲/۳۱