Securitatea cibernetica este un subiect controversat, in care aproape nimeni nu crede ca ar trebui investite resurse financiare pana in momentul in care costurile reparațiilor sunt mai mari decât orice bug bounty sau salarii ale unei echipe de specialitate.

De curând citeam pe un grup al oamenilor din IT o poveste a unei companii dezvoltatoare de software pentru POS-uri care fusese infectata cu un virus de tip ransomware și trebuia sa plătească 1500 € pentru decriptarea fiecărei stații de lucru, fiind undeva la numai 500 unități. 1500€ x 500 și nu aveau nici backup.

Am mai scris in trecut despre programul CERT-RO de Divulgare Coordonată a Vulnerabilităților – CVD.

Divulgarea coordonată și responsabilă a vulnerabilităților este forma de cooperare dintre deținătorii sau producatorii de servicii, sisteme și programe informatice și raportorii de vulnerabilități (terțe persoane care identifică și/sau raportează vulnerabilități ale serviciilor, programelor și sistemelor informatice) prin care cele doua părți se coordonează în remedierea vulnerabilităților, înainte de divulgarea publică a informațiilor care ar permite comunității largi de utilizatori, producatori și cercetatori în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate.

Astfel, exista deja cadrul legal prin care în situația în care este identificată o vulnerabilitate, raportorul are posibilitatea de a contacta CERT-RO iar mai departe operatorul (administratorul site-ului) este contactat de către aceștia și îi este indicat să elimine vulnerabilitățile înainte de a putea fi exploatate de către publicul larg. Asta numai dacă ceea ce a fost raportat este într-adevăr o vulnerabilitate ce poate reprezenta un risc din punct de vedere al securității cibernetice și este analizată de către specialiști înainte de a contacta operatorul.

Sunt situații în care operatorii răspund destul de repede solicitărilor CERT-RO. Unii solicită chiar să discute personal cu raportorul, având implementate programe de bug bounty sau doar pentru a spune un simplu mulțumesc. In cazul CVD contează enorm cei 6-7 ani de acasă. Sunt situații in care operatorii dau vina pe hackeri rău intenționați și cred în sinea lor ca oamenii răi au ceva cu ei. Sunt situații în care operatorul ignoră cu bună știință notificarea CERT-RO sperând că a fost un caz izolat, oricum el are firmă prea mică și dacă însă întâmplă ceva, spune că nu a primit mailul.

Despre white-, grey-, black hat, scripteri, kinderi și alte specii vom povesti altă dată probabil.