Kövesse az Indexet Facebookon is!
Követem!
A különféle internetes lapokon, fórumokon és szakmai újságokban napról napra, óráról órára egyre újabb és újabb biztonsági résekről, támadási módokról, védelmi hiányosságokról lehet olvasni. Bárki, aki ezen a területen fejti ki működését akár biztonsági szakemberként, akár cikkíróként óriási felelősséggel bír, hiszen cselekedetei nem csak a számítógépeket, egy iparágat, de a teljes gazdaságot is érintik.
Sokáig nem volt ildomos beszélni az esetleges biztonsági hiányosságokról mondván, hogy sokan visszaélnének vele. A nagy szoftvergyártók mind a mai napig rendelkeznek olyan belsőhasználatú nyilvántartásokkal, melyekben csak úgy hemzsegnek a publikálatlan veszélyforrásokról szóló adatok. Ameddig nem tudják, hogy van, nem kell kijavítani, hangzik a jelszó.
A másik megközelítés szerint, ha valaki talál valamilyen hibát, azonnal kürtölje tele vele a szaksajtót. Ez persze növeli a hírnevünket, de sok gondot is okozhatunk vele. Egy új biztonsági rés felfedezésekor jó volna mindenkit azonnal értesíteni, hogy megakadályozhassuk a probléma rosszhiszemű kiaknázását. Az így nyilvánosságra kerülő információk alapján azonban olyanok is könnyűszerrel okozhatnak kárt, akik soha nem jöttek volna rá a biztonsági hiányosság létezésére.
Érdemes tehát az információ áramlásának útját szabályozni. Elsőként meg kell teremteni annak a lehetőségét, hogy a fejlesztők kijavíthassák a frissen felfedezett hibát, illetve azt is, hogy a kritikus felhasználók saját csatornákon hamarabb juthassanak a kérdéses információhoz, mint azok, akik ezt rossz célra kívánják felhasználni.
A feladat nem könnyű. Olyan, mint amikor csata közben jönnek rá pajzskészítők, hogy az bizonyos szögekből igen is jól támadható. Elsőként természetesen gőzerővel ráállnak a probléma kijavítására. A harcolókat azonban valamiképpen értesíteni kellene a veszélyről, mert különben nem lesz kinek megjavítani a vértjét_ Ha azonban az információ elterjed a csatatéren, az sincsen kizárva, hogy az ellenség is tudomást szerez róla, akkor pedig jaj a katonáknak.
A többek között az IBM-et, a Hewlett-Packard-ot, a Symantec-et, a Microsoft-ot és a SUN Microsystems-t tömörítő OIS (Organization for Internet Security) szabványt készül létrehozni az ilyen jellegű információk áramlásának szabályozására.
A szabványtervezet nem csak az információ útját, de a késleltetési időt is szabályozza azzal, hogy meghatározza mennyi idő múlva tehető közzé a fellelt hiba. Ez a késletetési idő lépéselőnyt ad a gyártónak, ugyanakkor sürgeti is, hogy megtalálja a hiba kijavításának módját.
Amennyiben netalántán mi bukkannánk valamilyen hibára, elsőként a gyártót értesítsük és csak utána a szakmai közéletet. Ott is először csak a zártabb fórumokat.
Reméljük, hogy a biztonságos informatika iránt mutatkozó egyre sürgetőbb igény néhány éven belül kielégítést nyer megfelelő szabványok, minőségbiztosítási eljárások és a biztonság középpontba állítása révén.
Kövesse az Indexet Facebookon is!
Követem!
