Pravni vidiki etičnega hekanja so pomemben element vsake pogodbe, sklenjene za izvajanje penetracijskih testov ali pregledov informacijskih sistemov. S skrbno pravno urejenim razmerjem med naročnikom in izvajalcem vzpostavimo temelje zaupnega odnosa. Pri izvajanju testov, ki posegajo v poslovne informacijske sisteme, sta zaupnost in zaupanje ključnega pomena.
Področje kibernetske varnosti je v medosebnih interakcijah vedno spolzko področje. Že na zasebni ravni nam ni prijetno priznati, če se nam zgodi prevzem e-poštnega računa ali vdor v Facebookov račun, ki sproži pošiljanje neželenih sporočil vsem prijateljem. Še toliko hujše pa je, če se vdor, kraja podatkov ali poskus izsiljevanja zgodi v poslovnem okolju.
Kateri pravni vidiki etičnega hekanja so v slovenskem prostoru že dobro opredeljeni in vključeni v prakso? In na katerih področjih imamo še možnosti za izboljšave? O tem smo razpravljali na okrogli mizi, ki ji potekala v sklopu Tedna kibernetske varnosti. Celoten posnetek okrogle mize je dostopen na strani Digitalnega središča Slovenije. Ključne poudarke pa smo strnili v ta zapis.
Vsi pravni okviri izvajanja testa naj bodo določeni pred začetkom projekta
Storitev penetracijskega testa ali varnostnega pregleda se začne veliko pred dejansko izvedbo. Projekt mora biti pripravljen tako, da lahko izvajalec nemoteno sledi projektni dokumentaciji in se med samo izvedbo ne sprašuje, ali testira prave sisteme.
Prvi korak je naročnikovo povpraševanje po storitvi. Takoj zatem podpišemo prvi pravni dokument: Sporazum o nerazkrivanju informacij (NDA). Zakaj? Ker za kakovostno pripravo ponudbe potrebujemo zaupne informacije. Izmenjavo takšnih informacij moramo vedno urediti z ustrezno pogodbo. Pred pripravo ponudbe se s potencialnim izvajalcem dogovorimo o obsegu testa ali pregleda in natančno določimo, kaj vse bo storitev vključevala. Šele nato lahko izvajalec pripravi kakovostno ponudbo.
Pripravljalni del projekta zahteva veliko dela na strani naročnika. Ta mora namreč v primeru testiranja storitev v oblaku tudi preveriti, kaj je na takšni infrastrukturi sploh dovoljeno testirati in po potrebi pridobiti dovoljenja ponudnika storitve.
Ker za takšne projekte podjetja pogosto želijo več kot eno ponudbo, je dobro, da se že prej pozanimajo o referencah potencialnih izvajalcev. Na podlagi pridobljenih podatkov za pripravo ponudbe prosijo le tiste, ki so jih prepoznali kot zanesljive partnerje.
Ko naročnik in izvajalec uskladita ponudbene zahteve, sledi podpis pogodbe in izjave o varovanju osebnih podatkov (GDPR). Pred začetkom izvajanja projekta stranki podpišeta tudi dovoljenje za izvedbo pregleda. V teh dveh dokumentih je tudi navedeno, kdo bo izvajal storitev. Šele zdaj se penetracijsko testiranje ali varnostni pregled lahko začne.
Vsako preverjanje in testiranje kibernetske varnosti ima svoj cilj
Morda kdo pomisli, da je penetracijski test prosto hekanje vse povprek po informacijskem sistemu. Nikakor. Vsako penetracijsko testiranje in vsak varnostni pregled se izvaja z določenim ciljem. Bodisi preverjamo varnost mobilne aplikacije ali točno določene namizne aplikacije. Lahko testiramo varnost strežniških nastavitev ali perimetra informacijskega sistema. Ali pa testiramo, kako dovzetni so zaposleni za socialni inženiring.
»Obsega, ki je določen v izhodiščnih dokumentih, nikakor ne smemo prekoračiti. Prav tako se moramo pri izvajanju storitve držati metodologije in postopkov, ki smo jih opredelili v ponudbi in pogodbi,« je povedal Grega Prešeren, naš CTO in vodilni etični heker.
Kaj pa, če zaznamo nekaj več?
Pogosto se zgodi, da pri izvajanju testa pridemo do točke, ki je določena v pogodbi, a se pot odpira naprej. Kaj etični heker naredi v takšnem primeru? Vedno na tej točki zaključi s pregledovanjem in o svoji ugotovitvi obvesti naročnika. Če naročnik želi, da se pregled izvaja globlje od prvotno predvidenega plana, skleneta aneks k pogodbi. Brez vnaprej sklenjenega pogodbenega dogovora izvajalec ne testira naprej.
»Lahko se tudi zgodi, da izvajalec ob pregledovanju odkrije ranljivost v sistemu tretje stranke, ki je povezan z naročnikovim sistemom. V takšnem primeru se pojavi dilema, ali tretji stranki sporočiti, kaj smo odkrili, saj z njo nimamo pogodbenega razmerja,« je izpostavil Prešeren.
Na tej točki pride do izraza etičnost izvajalca storitve. Etični hekerji morajo biti predvsem etični. Etičnost pa je več kot le spoštovanje minimalnih zahtev zakona. Je drža, ki mora biti lastnost izvajalca storitev s področja kibernetske varnosti. In je temelj, na katerem gradimo zaupanje strank.
Pravni vidiki etičnega hekanja in varstvo osebnih podatkov
Etičnost je pri izvajanju penetracijskih testov pogosto povezana tudi z osebnimi podatki, do katerih pridemo med pregledom. Tudi ravnanje z osebnimi podatki tekom penetracijskega testa mora biti urejeno s pogodbo med naročnikom, ki je upravljalec podatkov, in izvajalcem, ki je pogodbeni obdelovalec podatkov.
»Splošna uredba pravi, da mora biti pogodbeno razmerje urejeno s pisnim dogovorom oz. pogodbo. 28. člen uredbe GDPR tudi jasno določa, kaj mora takšna pogodba vsebovati: dolžnosti, namen, vrste podatkov, v kolikor je to možno vnaprej predvideti,« je povedal Andrej Tomšič iz urada Informacijskega pooblaščenca RS.
Na ravnanje z osebnimi podatki moramo biti zlasti pozorni pri oblikovanju poročil o opravljeni storitvi. Izvajalec je pri pripravi poročil dolžan varovati osebne podatke, shranjene v naročnikovih sistemih. Osebne podatke v poročilih zameglimo ali izbrišemo. Ob tem je Andrej Tomšič še poudaril, da se moramo zavedati, da so šifre strank, ID številke zaposlenih ipd. tudi osebni podatki, le da so psevdonimizirani. Zanje veljajo enaka pravila kot za surove osebne podatke. Pri poročilih lahko operiramo le z anonimiziranimi podatki, ki jih nikakor ni možno povezati s posameznikom.
»Cilj penetracijskega testa je pridobitev dostopa do določene mape, datoteke ali v aplikacijo. Ne pa vsebina, ki je tam shranjena,« je izpostavil odvetnik Janez Tekavc.
Kaj pa avtorske pravice?
Večkrat smo že omenili, da je v današnjem času možno shekati praktično karkoli. Elektronske naprave in tudi naprave, na katere ob omembi elektronike morda niti ne pomislimo: pečice, akvarije, avtomobile, celo srčne spodbujevalnike.
Kakršen koli nepooblaščen poseg v napravo je problematičen s stališča avtorskih pravic, uveljavljanja garancije in varnosti.
Na področju izvajanja storitev etičnega hekanja se s tem področjem srečamo pri varnostni analizi izvorne kode. Če je pogodbeno tako določeno, lahko kodo testiramo in skeniramo, nikakor pa je ne smemo kakorkoli predelovati, vanjo posegati ali jo hraniti pri sebi.
Kdo je odgovoren, če gre kaj narobe?
Na to vprašanje lahko pozabimo, če so pravni vidiki etičnega hekanja pred začetkom projekta jasno opredeljeni. Če so s strani naročnika podane točne specifikacije sistemov, ki so predmet testiranja in če izvajalec sledi predvideni metodologiji, skoraj ni razloga za skrb.
Če izvajalec vendarle zazna, da bi pri določenem testu lahko šlo kaj narobe, je njegova dolžnost, da pred testiranjem o tem obvesti naročnika in se z njim pogovori o možnih posledicah. V takšnem primeru lahko opustimo izvajanje testa. Če naročnik sprejme tveganje, lahko test vseeno izvedemo.
Pogled v prihodnost
Kaj lahko na področju testiranja kibernetske varnosti v prihodnosti še izboljšamo?
Janez Tekavc vidi priložnost v revizijski sledi: »Zagotovo bi kakovost storitev dvignila revizijska sled penetracijskega testiranja in varnostnega pregleda. Tako bi naročnik imel možnost rekonstrukcije napada in vpogleda v to, kdo je dejansko izvedel napad. Lahko bi se namreč zgodilo, da bi neetični heker vedel za načrtovano testiranje in v istem časovnem oknu izvedel dejanski napad na sistem.«
Raven panoge bi v prihodnje lahko dvignili tudi z uvedbo obveznih varnostnih pregledov po vzoru revizij v računovodskem sektorju. Takšna ureditev bi tudi predvidevala seznam kvalificiranih izvajalcev.
Morda bomo sčasoma dosegli tudi takšno raven kibernetske kulture, da se bodo podjetja odločila za vpeljavo sistema odgovornega razkrivanja pomanjkljivosti. To pomeni, da sama »nosijo glavo na prodaj« in javno povejo, da lahko hekerji testirajo njihov sistem. Pri tem opredelijo obseg testiranja, kot bi sklenili pogodbo z naročnikom. Seveda so izvajalci testov za odkrite ranljivosti tudi ustrezno nagrajeni. V tujini takšni sistemi že uspešno delujejo. Zadovoljna so tako podjetja, ki lahko izboljšajo svojo varnostno držo, kot tudi hekerji, ki z nagradami zelo dobro zaslužijo.
Ne moremo z gotovostjo trditi, v katero smer bo šel razvoj preverjanja kibernetske varnosti v Sloveniji. Zagotovo pa vemo, da so naše storitve osnovane na trdni pravni podlagi in podkrepljene z dolgoletnimi izkušnjami.
Če želite preveriti, kako trdna je kibernetska varnost vaše organizacije in iščete zanesljivega partnerja, vam kot etični hekerji z veseljem podamo roko.
Pišite nam za več informacij in svetovanje o izboljšanju varnostne drže.