Atsakingo atskleidimo politika Vilniaus m. savivaldybeje
Apie atsakingo atskleidimo programą „Surask spragas, jei gali“ (angl. „Hack me if you can“)
Vilniaus m. savivaldybė, rūpindamasi savo ir kitų saugumu, 2020-ųjų vasario mėn. pradėjo taikyti atsakingo atskleidimo politiką. Pilietiški vilniečiai yra ir atvirai kviečiami prisidėti prie miesto kibernetinio atsparumo stiprinimo dalyvaujant savivaldybės kibernetinio saugumo spragų atsakingo atskleidimo programoje „Surask spragas, jei gali“ (angl. „Hack me if you can“). Ši iniciatyva suteiks galimybę neatlygintinai identifikuoti spragas nurodytose savivaldybei priklausančiose internetinėse svetainėse, šiuo metu 5-iose). Vilniaus m. savivaldybė yra pirmoji valstybinė institucija Lietuvoje, kuri drąsiai ėmėsi programos, keičiančios gana uždarą požiūrį į kibernetinį saugumą šalyje.
Atsakingo atskleidimo politika ir jos svarba
Kibernetinio saugumo spragų atskleidimas yra laikomas atsakingu tuomet, kai aptiktos spragos visų pirma parodomos pačiai organizacijai, kurios sistemose jos buvo nustatytos. Taikydama atsakingo atskleidimo politiką, organizacija pateikia aiškias taisykles ir atsakomybes, apibrėžia kokiomis priemonėmis, metodais bei procesais reikėtų vadovautis, kad nebūtų padaryta „meškos paslauga“, t.y. atskleidimas laikomas kenkėjiška veikla. Taip pat, nurodomas laikotarpis per kurį yra neviešinama informacija apie atrastus pažeidžiamumus, nes bandoma juos aktyviai pašalinami. Kai organizacija turi ir taiko atsakingo atskleidimo politiką, yra skatinimas bendruomeniškumas, nes pastebėję saugumo spragas, IT specialistai gali prisidėti prie jų likvidavimo. Nors Lietuvoje atsakingas atskleidimas valstybiniu mastu dar nėra reglamentuojamas, tai neturėtų būti kliūtis organizacijoms pačioms inicijuoti, sukomplektuoti ir taikyti atsakingo atskleidimo politiką ir Vilniaus m. savivaldybė yra puikus to pavyzdys.
Projektas Vilniaus m. savivaldybėje
NRD Cyber Security specialistai padėjo Vilniaus miesto savivaldybei parengti atsakingo atskleidimo politiką. Ją ruošiant mes:
Dalijomės žiniomis ir patirtimi apie atsakingo atskleidimo programų įgyvendinimo praktikas, veikiančias Lietuvoje bei kitose valstybėse.
Sudėliojome programos veikimo procesus, dalyvių teises ir pareigas, kad būtų užtikrinta jog pastebėta spraga nepasinaudotų piktavališkai nusiteikę asmenys.
Išgryninome metodus, kuriais būtų draudžiama vykdyti spragų identifikavimą, kad testavimas netrikdytų įprastų svetainių veiklų procesų ir funkcijų.
Vilniaus miesto savivaldybės administracijos Inovacijų ir technologijų grupės vadovas Jonas Pidkovas:
„Mums tikrai patiko darbas kartu su NRD Cyber Security, nes buvo padaryta ne tik tai, kas parašyta užduotyje – taip pat perduota pasaulinė geroji praktika, vyko diskusijos bei bendradarbiavimas.“
Kitos Istorijos
CISO paslaugos sutelktinio finansavimo platformai „ROIX“
„Teltonika“ konkurencingumą didina išskirtiniu dėmesiu kibernetiniam saugumui: bendradarbiauja su „NRD Cyber Security“
VLK kibernetinį atsparumą stiprina bendradarbiaudama su „NRD Cyber Security“
„Acme Grupė“ kelia aukštą kartelę kibernetiniam atsparumui: pradėjo bendradarbiauti su „NRD Cyber Security“
„Kauno grūdai“ IT saugumo auditui pasirinko „NRD Cyber Security“
„Staticus“ Saugumo Operacijų Centro (SOC) paslaugoms pasitelkė „NRD Cyber Security“
„GelvoraSergel“ informacijos saugumo priežiūrą patiki „NRD Cyber Security“
