Iššūkis

Apie atsakingo atskleidimo programą „Surask spragas, jei gali“ (angl. „Hack me if you can“)

Vilniaus m. savivaldybė, rūpindamasi savo ir kitų saugumu, 2020-ųjų vasario mėn. pradėjo taikyti atsakingo atskleidimo politiką. Pilietiški vilniečiai yra ir atvirai kviečiami prisidėti prie miesto kibernetinio atsparumo stiprinimo dalyvaujant savivaldybės kibernetinio saugumo spragų atsakingo atskleidimo programoje „Surask spragas, jei gali“ (angl. „Hack me if you can“). Ši iniciatyva suteiks galimybę neatlygintinai identifikuoti spragas nurodytose savivaldybei priklausančiose internetinėse svetainėse, šiuo metu 5-iose). Vilniaus m. savivaldybė yra pirmoji valstybinė institucija Lietuvoje, kuri drąsiai ėmėsi programos, keičiančios gana uždarą požiūrį į kibernetinį saugumą šalyje.

Sprendimas

Atsakingo atskleidimo politika ir jos svarba

Kibernetinio saugumo spragų atskleidimas yra laikomas atsakingu tuomet, kai aptiktos spragos visų pirma parodomos pačiai organizacijai, kurios sistemose jos buvo nustatytos. Taikydama atsakingo atskleidimo politiką, organizacija pateikia aiškias taisykles ir atsakomybes, apibrėžia kokiomis priemonėmis, metodais bei procesais reikėtų vadovautis, kad nebūtų padaryta „meškos paslauga“, t.y. atskleidimas laikomas kenkėjiška veikla. Taip pat, nurodomas laikotarpis per kurį yra neviešina informacija apie atrastus pažeidžiamumus, nes bandoma juos aktyviai pašalinami. Kai organizacija turi ir taiko atsakingo atskleidimo politiką, yra skatinimas bendruomeniškumas, nes pastebėję saugumo spragas, IT specialistai gali prisidėti prie jų likvidavimo. Nors Lietuvoje atsakingas atskleidimas valstybiniu mastu dar nėra reglamentuojamas, tai neturėtų būti kliūtis organizacijoms pačioms inicijuoti, sukomplektuoti ir taikyti atsakingo atskleidimo politiką ir Vilniaus m. savivaldybė yra puikus to pavyzdys.

Projektas Vilniaus m. savivaldybėje

NRD Cyber Security specialistai padėjo Vilniaus miesto savivaldybei parengti atsakingo atskleidimo politiką. Ją ruošiant mes:

  • Dalijomės žiniomis ir patirtimi apie atsakingo atskleidimo programų įgyvendinimo praktikas, veikiančias Lietuvoje bei kitose valstybėse;
  • Sudėliojome programos veikimo procesus, dalyvių teises ir pareigas, kad būtų užtikrinta jog pastebėta spraga nepasinaudotų piktavališkai nusiteikę asmenys;
  • Išgryninome metodus, kuriais būtų draudžiama vykdyti spragų identifikavimą, kad testavimas netrikdytų įprastų svetainių veiklų procesų ir funkcijų.

Vilniaus miesto savivaldybės administracijos Inovacijų ir technologijų grupės vadovas Jonas Pidkovas:

 „Mums tikrai patiko darbas kartu su NRD Cyber Security, nes buvo padaryta ne tik tai, kas parašyta užduotyje - taip pat perduota pasaulinė geroji praktika, vyko diskusijos bei bendradarbiavimas.“

Šioje svetainėje siekiant pagerinti jūsų naršymo kokybę naudojami slapukai (angl. cookies). Kai kurie iš naudojamų slapukų yra būtini, o kiti padeda mums gauti duomenų, kaip ši svetainė yra naudojama ir patobulinti jūsų lankymosi patirtį. Jei sutinkate su visų slapukų naudojimu, spauskite „Sutinku". Jeigu nesutinkate su visų slapukų naudojimu, spauskite „Slapukų nustatymai" ir pasirinkite, kuriuos slapukus sutinkate naudoti.Daugiau apie slapukų naudojimą galite susipažinti Slapukų politikoje.    Sutinku    Slapukų nustatymai
©