X
Število kibernetskih napadov se je v zadnjem letu podvojilo. Vas zanima, kako se jim lahko izognete? Postanite del naše skupnosti.
In the last year, the number of cyberattacks doubled compared to the year before. Do you want to repel potential threats? Join our community.
  • Skip to primary navigation
  • Skip to main content
  • Skip to footer
Carbonsec – Cybersecurity Consultancy Services Company

Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

  • Storitve
    • Test varnosti gesel
    • Ransomware Readiness
    • Penetracijski test
    • Red Teaming
    • DDoS test
    • SCADA sistemi – varnost v industrijskem okolju
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
  • Rešitve
    • Pentera – avtomatizirano penetracijsko testiranje
    • SecurityScorecard – ocenjevanje tveganj in varnost dobavne verige
    • Simulacija napadov po e-pošti
    • Brezplačna orodja
    • Simulacija vdora in napada
  • Izobraževanje
    • Ozaveščanje uporabnikov
    • Varnost za programerje
    • Purple Team coaching
  • Novice
    • Novice
    • Blog
  • Gradiva
  • Podjetje
    • O nas
    • Ožja ekipa
    • Zaposlitev
    • Partnerji
  • Kontakt
  • Email
  • Facebook
  • LinkedIn

Pravni vidiki etičnega hekanja – kje so meje?

Kakšna je v Sloveniji ureditev etičnega hekanja s pravnega stališča in kje so možnosti za izboljšave?

25. oktobra, 2021 by Carbonsec Team

Pravni vidiki etičnega hekanja so pomemben element vsake pogodbe, sklenjene za izvajanje penetracijskih testov ali pregledov informacijskih sistemov. S skrbno pravno urejenim razmerjem med naročnikom in izvajalcem vzpostavimo temelje zaupnega odnosa. Pri izvajanju testov, ki posegajo v poslovne informacijske sisteme, sta zaupnost in zaupanje ključnega pomena.

Področje kibernetske varnosti je v medosebnih interakcijah vedno spolzko področje. Že na zasebni ravni nam ni prijetno priznati, če se nam zgodi prevzem e-poštnega računa ali vdor v Facebookov račun, ki sproži pošiljanje neželenih sporočil vsem prijateljem. Še toliko hujše pa je, če se vdor, kraja podatkov ali poskus izsiljevanja zgodi v poslovnem okolju.

Vdor v uporabniški račun je za uporabnika zelo stresna izkušnja.

Kateri pravni vidiki etičnega hekanja so v slovenskem prostoru že dobro opredeljeni in vključeni v prakso? In na katerih področjih imamo še možnosti za izboljšave? O tem smo razpravljali na okrogli mizi, ki ji potekala v sklopu Tedna kibernetske varnosti. Celoten posnetek okrogle mize je dostopen na strani Digitalnega središča Slovenije. Ključne poudarke pa smo strnili v ta zapis.

Vsi pravni okviri izvajanja testa naj bodo določeni pred začetkom projekta

Storitev penetracijskega testa ali varnostnega pregleda se začne veliko pred dejansko izvedbo. Projekt mora biti pripravljen tako, da lahko izvajalec nemoteno sledi projektni dokumentaciji in se med samo izvedbo ne sprašuje, ali testira prave sisteme.

Prvi korak je naročnikovo povpraševanje po storitvi. Takoj zatem podpišemo prvi pravni dokument: Sporazum o nerazkrivanju informacij (NDA). Zakaj? Ker za kakovostno pripravo ponudbe potrebujemo zaupne informacije. Izmenjavo takšnih informacij moramo vedno urediti z ustrezno pogodbo. Pred pripravo ponudbe se s potencialnim izvajalcem dogovorimo o obsegu testa ali pregleda in natančno določimo, kaj vse bo storitev vključevala. Šele nato lahko izvajalec pripravi kakovostno ponudbo.

Pripravljalni del projekta zahteva veliko dela na strani naročnika. Ta mora namreč v primeru testiranja storitev v oblaku tudi preveriti, kaj je na takšni infrastrukturi sploh dovoljeno testirati in po potrebi pridobiti dovoljenja ponudnika storitve.

Ker za takšne projekte podjetja pogosto želijo več kot eno ponudbo, je dobro, da se že prej pozanimajo o referencah potencialnih izvajalcev. Na podlagi pridobljenih podatkov za pripravo ponudbe prosijo le tiste, ki so jih prepoznali kot zanesljive partnerje.

Podpis pogodbe je ključni korak naročila penetracijskega testa.

Ko naročnik in izvajalec uskladita ponudbene zahteve, sledi podpis pogodbe in izjave o varovanju osebnih podatkov (GDPR). Pred začetkom izvajanja projekta stranki podpišeta tudi dovoljenje za izvedbo pregleda. V teh dveh dokumentih je tudi navedeno, kdo bo izvajal storitev. Šele zdaj se penetracijsko testiranje ali varnostni pregled lahko začne.

Vsako preverjanje in testiranje kibernetske varnosti ima svoj cilj

Morda kdo pomisli, da je penetracijski test prosto hekanje vse povprek po informacijskem sistemu. Nikakor. Vsako penetracijsko testiranje in vsak varnostni pregled se izvaja z določenim ciljem. Bodisi preverjamo varnost mobilne aplikacije ali točno določene namizne aplikacije. Lahko testiramo varnost strežniških nastavitev ali perimetra informacijskega sistema. Ali pa testiramo, kako dovzetni so zaposleni za socialni inženiring.

»Obsega, ki je določen v izhodiščnih dokumentih, nikakor ne smemo prekoračiti. Prav tako se moramo pri izvajanju storitve držati metodologije in postopkov, ki smo jih opredelili v ponudbi in pogodbi,« je povedal Grega Prešeren, naš CTO in vodilni etični heker.

Kaj pa, če zaznamo nekaj več?

Pogosto se zgodi, da pri izvajanju testa pridemo do točke, ki je določena v pogodbi, a se pot odpira naprej. Kaj etični heker naredi v takšnem primeru? Vedno na tej točki zaključi s pregledovanjem in o svoji ugotovitvi obvesti naročnika. Če naročnik želi, da se pregled izvaja globlje od prvotno predvidenega plana, skleneta aneks k pogodbi. Brez vnaprej sklenjenega pogodbenega dogovora izvajalec ne testira naprej.

»Lahko se tudi zgodi, da izvajalec ob pregledovanju odkrije ranljivost v sistemu tretje stranke, ki je povezan z naročnikovim sistemom. V takšnem primeru se pojavi dilema, ali tretji stranki sporočiti, kaj smo odkrili, saj z njo nimamo pogodbenega razmerja,« je izpostavil Prešeren.

Na tej točki pride do izraza etičnost izvajalca storitve. Etični hekerji morajo biti predvsem etični. Etičnost pa je več kot le spoštovanje minimalnih zahtev zakona. Je drža, ki mora biti lastnost izvajalca storitev s področja kibernetske varnosti. In je temelj, na katerem gradimo zaupanje strank.

Pravni vidiki etičnega hekanja in varstvo osebnih podatkov

Etičnost je pri izvajanju penetracijskih testov pogosto povezana tudi z osebnimi podatki, do katerih pridemo med pregledom. Tudi ravnanje z osebnimi podatki tekom penetracijskega testa mora biti urejeno s pogodbo med naročnikom, ki je upravljalec podatkov, in izvajalcem, ki je pogodbeni obdelovalec podatkov.

»Splošna uredba pravi, da mora biti pogodbeno razmerje urejeno s pisnim dogovorom oz. pogodbo. 28. člen uredbe GDPR tudi jasno določa, kaj mora takšna pogodba vsebovati: dolžnosti, namen, vrste podatkov, v kolikor je to možno vnaprej predvideti,« je povedal Andrej Tomšič iz urada Informacijskega pooblaščenca RS.

V poročilih ne smemo razkriti osebnih podatkov.

Na ravnanje z osebnimi podatki moramo biti zlasti pozorni pri oblikovanju poročil o opravljeni storitvi. Izvajalec je pri pripravi poročil dolžan varovati osebne podatke, shranjene v naročnikovih sistemih. Osebne podatke v poročilih zameglimo ali izbrišemo. Ob tem je Andrej Tomšič še poudaril, da se moramo zavedati, da so šifre strank, ID številke zaposlenih ipd. tudi osebni podatki, le da so psevdonimizirani. Zanje veljajo enaka pravila kot za surove osebne podatke. Pri poročilih lahko operiramo le z anonimiziranimi podatki, ki jih nikakor ni možno povezati s posameznikom.

»Cilj penetracijskega testa je pridobitev dostopa do določene mape, datoteke ali v aplikacijo. Ne pa vsebina, ki je tam shranjena,« je izpostavil odvetnik Janez Tekavc.

Kaj pa avtorske pravice?

Večkrat smo že omenili, da je v današnjem času možno shekati praktično karkoli. Elektronske naprave in tudi naprave, na katere ob omembi elektronike morda niti ne pomislimo: pečice, akvarije, avtomobile, celo srčne spodbujevalnike.

Kakršen koli nepooblaščen poseg v napravo je problematičen s stališča avtorskih pravic, uveljavljanja garancije in varnosti.

Na področju izvajanja storitev etičnega hekanja se s tem področjem srečamo pri varnostni analizi izvorne kode. Če je pogodbeno tako določeno, lahko kodo testiramo in skeniramo, nikakor pa je ne smemo kakorkoli predelovati, vanjo posegati ali jo hraniti pri sebi.

Izvorne kode ne smemo spreminjati ali hraniti.

Kdo je odgovoren, če gre kaj narobe?

Na to vprašanje lahko pozabimo, če so pravni vidiki etičnega hekanja pred začetkom projekta jasno opredeljeni. Če so s strani naročnika podane točne specifikacije sistemov, ki so predmet testiranja in če izvajalec sledi predvideni metodologiji, skoraj ni razloga za skrb.

Če izvajalec vendarle zazna, da bi pri določenem testu lahko šlo kaj narobe, je njegova dolžnost, da pred testiranjem o tem obvesti naročnika in se z njim pogovori o možnih posledicah. V takšnem primeru lahko opustimo izvajanje testa. Če naročnik sprejme tveganje, lahko test vseeno izvedemo.

Pogled v prihodnost

Kaj lahko na področju testiranja kibernetske varnosti v prihodnosti še izboljšamo?

Janez Tekavc vidi priložnost v revizijski sledi: »Zagotovo bi kakovost storitev dvignila revizijska sled penetracijskega testiranja in varnostnega pregleda. Tako bi naročnik imel možnost rekonstrukcije napada in vpogleda v to, kdo je dejansko izvedel napad. Lahko bi se namreč zgodilo, da bi neetični heker vedel za načrtovano testiranje in v istem časovnem oknu izvedel dejanski napad na sistem.«

Raven panoge bi v prihodnje lahko dvignili tudi z uvedbo obveznih varnostnih pregledov po vzoru revizij v računovodskem sektorju. Takšna ureditev bi tudi predvidevala seznam kvalificiranih izvajalcev.

Morda bomo sčasoma dosegli tudi takšno raven kibernetske kulture, da se bodo podjetja odločila za vpeljavo sistema odgovornega razkrivanja pomanjkljivosti. To pomeni, da sama »nosijo glavo na prodaj« in javno povejo, da lahko hekerji testirajo njihov sistem. Pri tem opredelijo obseg testiranja, kot bi sklenili pogodbo z naročnikom. Seveda so izvajalci testov za odkrite ranljivosti tudi ustrezno nagrajeni. V tujini takšni sistemi že uspešno delujejo. Zadovoljna so tako podjetja, ki lahko izboljšajo svojo varnostno držo, kot tudi hekerji, ki z nagradami zelo dobro zaslužijo.

Ne moremo z gotovostjo trditi, v katero smer bo šel razvoj preverjanja kibernetske varnosti v Sloveniji. Zagotovo pa vemo, da so naše storitve osnovane na trdni pravni podlagi in podkrepljene z dolgoletnimi izkušnjami.

Če želite preveriti, kako trdna je kibernetska varnost vaše organizacije in iščete zanesljivega partnerja, vam kot etični hekerji z veseljem podamo roko.

Pišite nam za več informacij in svetovanje o izboljšanju varnostne drže.

Blog,  Novice,  Red Teaming blog,  penetracijsko testiranje,  penetration testing

Naj vam pomagamo

Pišite nam in nam pošljite osnovne informacije o vašem projektu.

Pošljite povpraševanje

Footer

O NAS

Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

  • Email
  • Facebook
  • LinkedIn

KONTAKT

CARBONSEC d.o.o.
Hacquetova ulica 8
1000 Ljubljana
Slovenija

info@carbonsec.com

HITRE POVEZAVE

  • Postanite del naše skupnosti.
  • Blog
  • Pogoji uporabe
  • Politika zasebnosti
  • Piškotki

STORITVE

  • Test varnosti gesel
  • Ransomware Readiness
  • Penetracijski test
  • Red Teaming
  • DDoS test
  • SCADA sistemi – varnost v industrijskem okolju
  • Varnostno svetovanje
  • Varnostna analiza izvorne kode
  • Izobraževanje

Copyright © 2023 Carbonsec · Created by mod.si

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vedno omogočeno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT