ИБ-эксперт спас медицинский фонд от взлома, а на него натравили полицию

Специалист по защите информации обнаружил
общедоступный репозиторий с конфиденциальными данными и проинформировал его
владельцев. Те сперва поблагодарили, но затем натравили адвокатов и силовиков.

Сперва спасибо…

Эксперт по информационной
безопасности Роб Дайк (Rob Dyke) обнаружил незащищенный
репозиторий в GitHub и проинформировал об этом его владельца — британскую некоммерческую
организацию Apperta Foundation, с которой прежде активно
сотрудничал. Представители компании
сначала горячо поблагодарили его, а затем на него внезапно натравили юристов и
полицию, якобы за нарушение законодательства о несанкционированном доступе к
компьютерным сетям.

Дополнительной скандальности
этой истории придает тот факт, что Apperta Foundation продвигает открытость систем и стандартов —
преимущественно в медицинской области, поскольку компанию создал и возглавляет
действующий медик. Apperta также активно сотрудничает со службой Национального здравоохранения
Великобритании. Сам Роб Дайк специализируется на безопасности облачных
ресурсов.

Что же касается
репозитория, из-за которого у Дайка начались проблемы, то в нем хранились
пароли, ключи API, а также важные финансовые документы, принадлежавшие Apperta.

ИБ-эксперт предотвратил кражу данных, но оказался под преследованием полиции

По словам Дайка, этот
репозиторий оставался общедоступным как минимум с 2019 г. Дайк утверждает, что
проинформировал Apperta в полном соответствии с процедурой ответственного раскрытия данных,
принятой в этой организации. С данной процедурой он был хорошо знаком.

Для подтверждения факта
передачи информации компании Дайк скопировал, зашифровал и сохранил в
безопасном месте данные, которые обнаружились в репозитории, на ближайшие 90
дней. По его словам, это было частью надлежащей процедуры.

…а потом полиция и адвокаты

Спустя примерно неделю эксперт
внезапно получил письмо от юристов Apperta, в котором утверждалось, что его
действия были незаконными. Это немало удивило Дайка, тем более, что сотрудники
Apperta хорошо его знали, и прекрасно понимали, что незаконных действий он
совершать не станет.

В интервью изданию Bleeping Computer Дайк заметил, что
речь шла об общедоступном репозитории, через который происходила утечка
информации, хотя юристы, по-видимому, посчитали, что Дайк произвел хакерский взлом
и вывел проприетарные данные из защищенного хранилища, что не соответствует
истине. Дайк также предоставил им письменное обязательство удалить любые
данные, полученные из этого репозитория, и предоставить подтверждение этому
факту. Данные Дайк удалил.

Как Kia применяет искусственный интеллект
Искусственный интеллект

Однако затем он получил
письмо из Нортумбрийского полицейского управления, в юрисдикции которого
располагается штаб-квартира Apperta, с запросом на дополнительную информации об
инциденте, который в этом письме обозначен как нарушение закона о неправомерном
использовании компьютерной техники.

Этот закон был принят в 1990 г. и сейчас уже
считается устаревшим, поскольку допускает слишком широкие толкования своих
положений. Де факто многие виды рутинной деятельности, связанной с
информационной безопасностью, могут рассматриваться как нарушения этого закона,
включая и получение доступа к общедоступным хранилищам, в которых
обнаруживаются конфиденциальные данные. Индустрия давно уже выступает за его
пересмотр и уточнения.

Исследования показывают, что до 80% британских
экспертов по кибербезопасности опасаются, что их деятельность в любой момент
может быть объявлена правонарушением. По сути закон это вполне допускает.

Публичных комментариев со стороны Apperta или
правоохранительных органов пока не поступало.

«Отсутствие взаимопонимания между ответственными
экспертами по кибербезопасности и правообладателями или вендорами осложняет
жизнь обеим сторонам, — считает Анастасия
Мельникова
, эксперт по информационной безопасности компании SEC Consult Services. — В данном
случае все выглядит так, будто кто-то в компании решил прикрыть свою ошибку,
выставив Дайка в черном свете и выдав его ответственный и благонамеренный
поступок за кибератаку и кражу данных, которых там не было и в помине. Остается
надеяться, что эта история быстро закончится в пользу эксперта».

Источник

admin
Оцените автора
Добавить комментарий