Вечно липсващата сигурност

Проблемите по защитата на потребителите за съжаление са свързани далеч не само с откриването на дупки в сигурността и запушването им. Един сериозен въпрос, който стои пред хората и организациите, занимаващи се с компютърна сигурност, е какво да правят с информацията, която са събрали.

Да предположим например, че знаете за сериозен пробив в операционната система Windows. Aко скриете това от широката общественост и съобщите само на Microsoft, софтуерният гигант няма да ви обърне внимание - или ще се бави с месеци, преди да се справи по някакъв начин с проблема. През това време някой не толкова добронамерен като вас може да забележи пробива и да се възползва от него - при това с голям успех, защото поради вашето мълчание потребителите няма и да подозират, че имат проблем. Втори вариант: правите откритието си обществено достояние. Само след седмица възползвали се от проучванията ви хакери вече са написали няколко злонамерени програми, с които тормозят беззащитните потребители. Вие получавате благодарствени писма от подземния свят и призовка от Microsoft. Заради подобни недоразумения очевидна става необходимостта от сътрудничество и взаимен контрол между софтуерните компании, фирмите за интернет сигурност и независимите изследователи. За организиране на такова сътрудничество се говори от доста време, но едва наскоро, в края на септември, наистина бе направена крачка в тази посока. На 24 септември единадесет компании се обединяват в група, която трябва да създаде правила за разпространението на информация, касаеща грешки в софтуерната сигурност. Групата се нарича ОIS (Организация за интернет сигурност). Нейни членове са занимаващите се с компютърна защита @Stake, BindView, Foundstone, Guardent, ISS, NAI, и Symantec, както и софтуерните компании Caldera International, Microsoft, Oracle и SGI. Те ще се опитат да изработят стратегия, която балансира, от една страна, стремежа на производителите на софтуер грешките им да не бъдат огласявани, а от друга - естественото желание на фирмите, работещи по сигурността, да се похвалят с откритията си. В центъра на спора са потребителите, които просто искат заплахите за машините им да бъдат сведени до минимум.

Според предложените от OIS правила компаниите трябва да отговорят на експертите по сигурността до седмица, след като са уведомени за евентуален пробив. Експертите пък трябва да дадат на софтуерните компании 30 дни да поправят пробива, преди да направят информацията за него публично достояние.

Щатското правителство не пречи и не помага

Едно от нещата, на които OIS инициативата разчита и се осланя, е стратегията на американското правителство за киберсигурност (NSSC - Национална стратегия за сигурност в киберпро-странството). В този документ, чийто начален вариант се появи преди месец, специално внимание се отделя на отговорното отношение при откриване на уязвимо място в защитата на софтуер. Направени са и още над шестдесет препоръки за подобряване на сигурността.

Мнозина са изненадани от този препоръчителен стил на стратегията. След събитията от 11 септември миналата година се очакват много по-твърди и решителни мерки. Вместо това (за радост на софтуерните компании) документът включва само предписания, никакъв по-конкретен и задължителен курс на действие. В стратегията се казва, че не държавата, а корпорациите и отделните потребители трябва да се грижат за онлайн сигурността. Стоварването на тази тежест върху беззащитния потребител предизвиква много язвителни коментари - от „Доброволен план за сигурността - това е като да помолим обикновените граждани да издигнат щит срещу ядрено оръжие, когато е очевидно, че организирането на подобни неща е задача на правителството“, до „Все едно да искате от всеки пътник на самолет да си носи собствен парашут!“. При все това международната общественост е доволна, че националната стратегия не нарушава правата на гражданите и не предполага прекомерно засилен правителствен контрол върху интернет инфраструктурата.