Etikus? Törvényes?

A kiberbiztonság területén az utóbbi években elindult több szabályzás, törvényalkotás, sztenderdek kialakítása. Van GDPR, ami az EU-s polgárok adatainak kezelését szabályozza, van egy hasonló az Egyesült Államokban CCPA névvel, van HIPAA, SOX, PCI-DSS; sztenderdek területén mindenekelőtt van az ISO 27K-család és egyéb, szabadon használható keretrendszerek, mint a CIS Controls, NIST - és még ki tudja, hány.

Ami hiányzik

Nagy hiányosság az etika. Tudom, én vagyok a naív, amikor elvárom, hogy cégek etikusan viselkedjenek a kiberbiztonsági incidensekkel kapcsolatban, ugyanakkor azt hiszem, jogos igény, hogy legalább a nagyobb incidensek annyira transzparensek legyenek, amennyire lehetséges.

Mire gondolok?

A legutóbbi blogbejegyzés kapcsán konkrétan leírtam, hogy a LastPass sunyin viselkedik az incidens kezelése során. Néhányan a PROHARDVER! fórumán ezt nem látták bizonyítottnak és megkérdőjelezték ezt a véleményt - mindenkinek megvan a joga a saját véleményéhez és nem is mentem volna utána ennek, de szó szerint belebotlottam még valamibe.

Kicsit máshonnan indul ez a rövid történet, a Redditen olvasgatva a különböző topicokat, találtam egy bejegyzést: "A Slack privát GitHub kódtárolójának tartalmát ellopták az ünnepi szezon ideje alatt". A Slack december 31-én tette közzé saját blogbejegyzései között ezt a hírt a következő bevezető megjegyzéssel: "Mivel komolyan vesszük a biztonságot, a titoktartást és az átláthatóságot, alább megosztjuk az incidens részleteit.".

Ma, január 5-én készült egy snapshot az archive.today által a Slack nemzetközi blogbejegyzéseiről, ahol egy szó sincs az incidensről.
Ez úgy érhető el, hogy az oldal forráskódjába elhelyezünk a meta tagek között egy "noindex, nofollow" bejegyzést - ez megmondja a keresőmotoroknak, hogy az oldalt ne vegyék fel az indexükbe és ne is kövessék le az adott oldalon található linkeket. Mindez ráadásul egy nagyon hosszú egysorosban van "elrejtve", kifejezetten csak sasszeműek, vagy gyanakvók előnyben... Mindeközben persze az amerikai lokális blog oldalon nem szerepelnek ezek a tagek, így mondhatnánk akár, hogy "véletlenül" ott maradt a kódban,

DE!

A LastPass incidensről szóló GoTo blogbejegyzés forráskódjában szintén szerepelt ez a meta tag - Zack Whittaker készített róla screenshotot és posztolta a Twitterre. A múlt idő használata nem véletlen, ugyanis a GoTo azóta eltávolította a tageket a forráskódból - legalábbis most nincsenek benne.
Mindezek ismeretében érdemes lehet átgondolni a véleményünket a LastPass viselkedéséről az incidens-sorozat során.*

Ezek az események - noha törvényesek - a legmesszeb menőkig etikátlanok, ezért törvényi szabályzásnak kellene rendelkeznie a megfelelő viselkedésről.

*Noha abban a hitben voltam, hogy a LastPass GoTo cég, kiderült, hogy a GoTo bejegyzése nem a LastPass incidensről szólt, hanem a sajátjukról, mivel a LastPass-szal közös felhős tárhelyet használtak az incidens idején. A végső konklúziómon - a törvényi szabályzás szükségességéről - nem változtat.

Coresec
2023.01.05