Vasario 11-oji – tarptautinė saugesnio interneto diena. Vilniaus savivaldybė, rūpindamasi savo ir kitų saugumu, atvirai kviečia pilietiškus vilniečius prisidėti prie kibernetinio saugumo didinimo, dalyvaujant savivaldybės kibernetinio saugumo spragų atsakingo atskleidimo programoje „Hack me if you can“ (liet. „Surask spragas, jei gali“). Programa suteiks galimybę neatlygintinai identifikuoti spragas vienoje iš 5 savivaldybei priklausančių internetinių svetainių. Vilniaus savivaldybė yra pirmoji valstybinė institucija Lietuvoje, kuri drąsiai ėmėsi programos, keičiančios gana uždarą požiūrį į kibernetinį saugumą Lietuvoje.
Programa „Hack me if you can“ – išskirtinė: turintys gebėjimų kibernetikos srityje gali padėti legaliai (ir laikantis taisyklių) ieškoti informacinių sistemų spragų tam tikrose miesto aplikacijose ir platformose, nesukeliant neigiamų pasekmių sistemose esančiai informacijai.
„Interneto erdvėje, kaip ir savo mieste, turėtume elgtis bendruomeniškai: kai reikia – ateiti į pagalbą. Šiandien daug kam nėra aišku, kaip elgtis, pastebėjus spragų IT sistemose, baiminamasi, kad tokie pranešimai gali būti traktuojami kaip kenkėjiška veikla ir pradedami tyrimai. Aiškus mūsų taisyklių ir lūkesčių komunikavimas padės elgtis adekvačiai: nebijoti pranešti apie pastebėtą IT sistemų pažeidžiamumą“, – sako Vilniaus miesto savivaldybės administracijos Inovacijų ir technologijų grupės vadovas Jonas Pidkovas.
Atsakingas kibernetinio saugumo spragos atskleidimas yra tuomet, kai aptiktos spragos parodomos pačiai organizacijai, kurios sistemose jos buvo nustatytos. Sutariama apie spragas pranešti Vilniaus miesto savivaldybės administracijai, o jas pašalinus (ir tik gavus sutikimą), apie tai galima paskelbti viešai. Svarbu suprasti, kad ankstyvas (iki nebus pašalintas pažeidžiamumas) tokios informacijos paskelbimas piktavalių gali būti panaudotas nusikalstamiems tikslams ir pakenkti asmenims, kurių duomenys pasiekiami sistemose.
Atsakingo kibernetinio saugumo spragų atskleidimo programa gimė po praėjusią vasarą Vilniuje atliktų hibridinės saugos pratybų „Gedimino legionas“, kai savanoriškai susibūrę Vilniaus IT entuziastai dalyvavo tiek IT gynybos, tiek socialinės inžinerijos „fake news“ (liet. melagingos naujienos) pratimuose.
Pasak J. Pidkovo, „Hack me if you can“ yra viena svarbiausių Inovacijų ir technologijų grupės idėjų, leisiančių daugiau investuoti į inovacijas, o ne į paslaugų pirkimą. Tolimesni šios komandos planai – bendro Vilniaus miesto kibernetinio saugumo centro (SOC) sukūrimas.
„Atsakingo atskleidimo politikos taikymas – tai modernus ir brandus požiūris organizuojant kibernetinį atsparumą bendradarbystės principais. Jis rodo organizacijos atvirumą ir norą dirbti kartu, vertinant įvairių specialistų indėlį. Smagu, kad Vilnius drąsiai žygiuodamas skaitmenizavimo, duomenų atvėrimo keliais, iškart galvoja – kaip suvaldyti susijusias rizikas ir kaip įkvėpti kitus sekti jų pavyzdžiu. Taip, tikiuosi, susidarys ekosistema ir gero elgesio normos. Man, kaip vilniečiui, tai – labai maloni žinia ir pavyzdys, kurį su džiaugsmu viešinsiu visame pasaulyje, kur tenka dirbti. Tai pirmas bandymas ir tikėtina kad bus ko mokytis ir tobulinti – bet juk tik taip įmanoma augti“, – sako „NRD Cyber Security“, kuri Vilniaus m. savivaldybei padėjo parengti atsakingo atskleidimo politiką, vadovas Vilius Benetis.
Į programą gali užsiregistruoti ir dalyvauti tiek fiziniai asmenys, ne jaunesni kaip 18 metų, pasirašę Programos dalyvio konfidencialumo pasižadėjimą, tiek nepilnamečiai (nuo 14 iki 18 metų), pateikę tėvų (rūpintojų) rašytinį sutikimą bei pasirašę Programos dalyvio konfidencialumo pasižadėjimą, ir neatlygintinai identifikuojantys spragas Programos ribose.
