Krašto apsaugos ministerija siekia reglamentuoti etiškų kompiuterių įsilaužėlių darbą. Dar vadinami baltakepuriai programuotojai gali bandyti įsilaužti į kompiuterį ar jų sistemą ir taip patikrinti, ar nėra saugumo spragų ir apie jas pranešti jų administratoriui. Šis spragas privalėtų pašalinti.
Krašto apsaugos ministerija siekia reglamentuoti etiškų kompiuterių įsilaužėlių darbą. Dar vadinami baltakepuriai programuotojai gali bandyti įsilaužti į kompiuterį ar jų sistemą ir taip patikrinti, ar nėra saugumo spragų ir apie jas pranešti jų administratoriui. Šis spragas privalėtų pašalinti. Krašto apsaugos ministerija teigia, kad iki šiol koordinuotos tvarkos, kaip tai padaryti, nebuvo. Pasak Kibernetinio saugumo specialistų, jos reikėjo seniai, bet ir parengtoje tvarkoje mato trūkumų.
Kibernetinis saugumas / Pranešimo autorių nuotr.
Programuotojas Tomas pats programuoja ir to moko kitus. Vienas iš programavimo dalykų – etiškas įsilaužimas į kompiuterį ar jų sistemą. Etiški programišiai, dar vadinami baltakepuriais, paprastai bando įsilaužti į įvairių įstaigų sistemas ir atrasti jų saugumo spragas.
„Pagrindinis to tikslas yra įvertinti riziką, parodyti silpnąsias vietas, duoti rekomendacijas, kaip jas galima būtų ištaisyti“, – sako „CodeAcademy“ dėstytojas, baltakepuris programuotojas Tomas Savėnas.
Baltakepuriai programišiai, kaip Tomas, apie saugumo spragas informuoja sistemų valdytojus, kad šie trūkumus pašalintų. Tačiau geras tikslas nepateisina grubių būdų įsilaužti į sistemą.
Etiški programišiai, lyg šachmatų karaliai, gali judėti tik pagal taisykles ir į kompiuterius laužtis pavyzdžiui, apie tai žinant kompiuterio savininkui, pasinaudoti paties vartotojo naršyklėje palikta informacija.
Baltakepuris programišius, negali daryti neetiškų judesių, kurie leistini tik kitoms figūroms, pavyzdžiui rengti brutalios atakos slaptažodžiams nulaužti ar sutrikdyti pačios sistemos darbo, negali perduoti rastos informacijos tretiesiems asmenims.
Krašto apsaugos ministerija parengė Kibernetinio saugumo įstatymo pakeitimo projektą – pagal jį etiški įsilaužėliai galėtų bandyti valstybės įstaigų sistemas ir pranešti apie jų trūkumus.
„Šiai dienai nėra jokio koordinuoto proceso, kaip tai padaryti, todėl organizacijos jaučiasi mažiau saugios, nes nežino, ką gali baltakepuriai hakeriai daryti, ir nesijaučia saugiai, nes nežino, ar gali būti persekiojami dėl savo veiksmų“, – tikina Jonas Skardinskas, Krašto apsaugos ministerijos atstovas.
„Dabar natūraliai užsienio šalys, užsienio vartotojai gali ant mūsų testuotis, o mes patys ne, tai šioje situacijoje mūsų pačių IT tiekėjai, kad ir studentai ar mokslininkai tyrėjai, jie galės viešai teikiamas paslaugas testuoti“, – teigia VU Matematikos ir informatikos fakulteto docentas Linas Bukauskas.
Anksčiau elektroninės sveikatos sistemos saugumo trūkumus atskleidęs kibernetinio saugumo ekspertas Darius Povilaitis teigė kreipęsis į valdžios institucijas, tačiau jokios reakcijos nesulaukė, todėl informaciją perdavė žiniasklaidai. Už tai jam iškelta baudžiamoji byla. Dabar krašto apsaugos ministerijos siūlomuose įstatymo pakeitimuose siekiama įtvirtinti prievolę baltakepuriams programuotojams apie aptiktas saugumo spragas pranešti sistemų administratoriams, bet D. Povilaitis sako abejojantis ar tai būtinai duos naudos.
„Ten viskas paviršiuje gulėjo, tos problemos e. sveikatoje egzistavo 3 metus. Ne visą informaciją aš tada atskleidžiau ir neplanavau daugiau atskleisti, bet tai išsivystė į visokias problemas, tada teko tą informaciją viešinti, po to žiūrėkite, kas nutiko, ta pati nuostabi sistema užpilama, į bet kokius perspėjimus gi niekas nereaguoja“, – sako D. Povilaitis.
Krašto apsaugos ministerija tikisi, kad įstatymo pakeitimai paskatins baltakepurių programuotojų aktyvumą ir dėl to ateityje pavyks atrasti daugiau valstybės įstaigų kompiuterių tinklo saugumo sprangų, kurias reikės taisyti.
