اصول اخلاقیِ افشای آسیب‌پذیری

۱۳۹۹/۲/۳۰امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ خطاها و آسیب‌پذیری‌ها حین توسعه‌ی هر سیستم، نرم‌افزار یا سخت‌افزار پیچیده‌ی آی‌تی تقریباً ناگزیرند. این خطاها اغلب نه توسط کارمندان و متخصصین فنی شرکت –که کارشان تولید نرم‌افزار و سخت‌افزار است- که توسط محققین برون‌سازمانی پیدا می‌شود. حذف این خطاها و آسیب‌پذیری‌های احتمالی کلید امنیت سایبریِ قدرتمند است؛ جایی که محققین و متخصصین ما نیز در آن کار می‌کنند. بنابراین منبع اصلی خطاها و شکست‌ها همچنین عامل کلیدی‌ شناسایی و اصلاح به موقعشان است. در عین حال، این متوجه شویم این فرآیند اصلاح خطا می‌تواند بالقوه خطرات و شکست‌های جدیدی بیافریند (به جای اینکه مشکل را حل کند) خود بسیار اهمیت دارد.

ما در کسپرسکی خواهانِ اصول اخلاقی شفاف و روشن در فرآیند RVD (افشای متعهدانه‌ی آسیب‌پذیری) هستیم؛ فرآیندی که وقتی آسیب‌پذیری‌ها را در سیستم سایر سازمان‌ها پیدا می‌کنیم دنبال می‌نماییم. ما 5 اصل خود را مبنای کار جهانی‌مان - که قدمتی بیش از 23 سال دارد- قرار داده‌ایم. همچنان نیز از برخی از بهترین اقدامات  -مخصوصاً کد اخلاقیاتِ «انجمن تیم‌های امنیت و واکنش‌دهی به رخداد[1]»- الهام می‌گیریم. ما در هر پرونده‌ای اولویت اصلی را روی ایمنی و امنیت کاربران خود قرار می‌دهیم (افراد و سازمان‌هایی که از راهکارها و محصولات کسپرسکی استفاده می‌کنند).

در عین حال علایق سایر طرف‌های دخیل را نیز ارج می‌نهیم: افراد یا سازمان‌هایی که محصولشان، مشتری‌هایشان (شاید بالقوه مجرم باشند) یا به طور کلی صنعت امنیت سایبری‌شان آسیب‌پذیر است. پیروی از این اصول تضمین می‌دهد که ما مسیری پایدار، متعهدانه و روشنی را در راستای ساخت اکوسیستم فناوری اطلاعات و ارتباطات (ICT) پیش گرفته‌ایم. با این حال، برای اینکه چنین رویکردی در کل صنعت آی‌تی بازدهی داشته باشد، فروشندگان دیگر –و کاربرانشان، محققین مستقل، رگولاتورها و سایر طرف‌های علاقمند- همچنین می‌بایست چنین محرک‌های انگیزشی را راهنمای خود قرار دهند. از این رو، تصمیم گرفتیم اصول خود را در راستای افشای آسیب‌پذیری پیداشده در سایر نرم‌افزارهای شرکت‌ها نشر دهیم. با ما همراه بمانید.

اصل شماره 1: ایجاد اعتماد

بنیاد امنیت اطلاعات میزان مشخصی از بی‌اعتمادی است. اما افشاسازی‌های آسیب‌پذیری بدون اعتماد در حقیقت کاری از پیش نخواهد برد؛ بنابراین ما خیرخواهی را انگیزه‌ی تمامی طرف‌ها فرض می‌کنیم، هرچند البته برای هماهنگ کردنِ اقدامات وقت و انرژی می‌گذاریم و هرگونه خسارات ناشی از آسیب‌پذیری را کاهش می‌دهیم- اعتماد کنید اما اعتبارسنجی یادتان نرود. ما اطلاعات مربوط به آسیب‌پذری‌ها را برای سرگرمی یا جاه‌طلبی منتشر نمی‌کنیم؛ تنها زمانی این کار رانجام دهیم که پای ایمنی کاربران و جامعه در میان باشد (و البته زمانی که این کار به نفع کاربران و جامعه باشد).

اصل شماره 2: زود اطلاع دادن به طرفِ آلوده‌شده

افشای آسیب‌پذیری فرآیند پیچیده‌ای است که می‌تواند با موانع بسیاری از جمله شرکت‌کنندگان غیرمتعهد یا غیرقابل‌دسترسی مواجه شود. با وجود این مشکلات، ارائه‌ی اطلاعات دقیق و به موقع به فروشندگان آلوده مهم و حیاتی است. ابتدا، طی مشارکتی تلاش می‌کنیم تا ریسک کاربری به حداقل خود رسیده و آسیب‌پذیری حذف شود. برای این منظور، در عوض فروشنده باید روشی روشن و واضح برای گزارش دادن و پردازش اطلاعات پیرامون آسیب‌پذیری‌ها به ما بدهد.

اصل شماره 3: تلاش‌هایی هماهنگ

بدیهی است که هر آسیب‌پذیری‌ای منحصر به فرد است. برخی کاربران را در مورد یک محصول واحد تهدید می‌کنند و برخی دیگر ممکن است چندین طرف را آلوده کنند (برای مثال در مواردی که پای شرکت‌های بین‌المللی با زنجیره تأمین‌های پیچیده در میان باشد). آسیب‌پذیری‌ها همچنین ممکن است زیرساخت‌های مهم و نیز شبکه‌های بخش عمومی را تحت‌الشعاع قرار دهد؛ بدین‌ترتیب امنیت ملی مورد تهدید واقع خواهد شد. محققین و فروشندگان تنها طرف‌های مربوطه نیستند؛ بلکه رگولاتورها، مشتریان، محققین مستقل و هکرهای کلاه‌سفید نیز در این امر دخیلند. ما به منظور هماهنگی مؤثر بین تمامی سهامداران از بهترین اقدامات بین‌المللی به عنوان راهنما کمک می‌گیریم (به عنوان مثال استاندارد ISO/IEC 29147:2018 برای افشای آسیب‌پذیری). ما به طور خاص سعی داریم زمان کافی‌ای برای تحلیل جامع آسیب‌پذیری و توسعه‌ی اصلاحات در اختیار تمامی شرکت‌کنندگان قرار دهیم.

اصل شماره 4: حفظ اسرار در صورت لزوم

اگر اطلاعات فنی در خصوص یک آسیب‌پذیری اوایل فرآیند افشا شود، مهاجمین می‌توانند از آن سوءاستفاده کنند. از همین روست که اطلاعات را به صورت محرمانه با طرف‌ها به اشتراک می‌گذاریم؛ طرف‌هایی که باید اقداماتی جهت تخفیف این تهدیدها اتخاذ کرده و از طریق مطمئن‌ترین و امن‌ترین کانال‌های ارتباطی برای گزارش فعالیت داشته باشند. درست به همین دلیلی که اشاره کردیم، در مورد شرایط و قرائن افشا با فروشنده پای مذاکره می‌رویم. با این حال، اگر فروشنده‌ای پاسخگو نبود، بسته به شدت و مقیاس آسیب‌پذیری و فوریت خطر این افشاسازی را از طریق کانال‌های ارتباطی خود انجام می‌دهیم. همچنین این افشا را بر اساس خط‌مشی‌های داخلی، رگولاسیون‌های لوکال و بهترین اقدامات صنعتی خود انجام پیش می‌بریم؛ همه‌ی اینها درحالی اتفاق می‌افتد که فروشنده کاملاً به امور واقف است.

اصل شماره 5: داشتن رفتاری مطلوب

باوجود تلاش‌های صنعت، مجرمان سایبری همچنان به دنبال راهی برای پیدا کردن آسیب‌پذیری‌اند. بنابراین، به گمان ما حمایت آشکارای هر کسی که وظیفه‌ی گزارش‌دهیِ آسیب‌پذیری‌ها را دارد بسیار اهمیت دارد.

 

عقیده ما بر این است که اگر همه‌ی طرف‌ها به یک سری اصول اخلاقی مشابه رجوع کنند قادر خواهیم بود دست به دست هم اکوسیستم ICT را نه تنها امن‌تر سازیم که همچنین آن را برای کاربران خود (افرادی که ما برای آن‌ها کار می‌کنیم) سلامت‌تر از قبل و قابل‌پیش‌بینی‌تر کنیم. 

 

[1] FIRST

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.