Šonedēļ medijus pāršalca ziņa par tiesvedību starp Raimondu Skurulu un CSDD, kas arī aktīvi tika diskutēta attiecīgās profesionāļu grupās. Lai arī ar Raimondu neesmu pazīstams un neesmu arī saskāries profesionāli, iepazīstoties ar publiski pieejamo informāciju, pārņēma milzīga neizpratne par CSDD rīcību, ko arī centīšos izklāstīt no savas perspektīvas.

Pirmkārt, CSDD šobrīd ir cvd.cert.lv ievainojamību ziņošanas platformas dalībnieks. Šī platforma ir radīta tieši ar mērķi, lai kiberdrošības eksperti (vai entuziasti) veiktu pārbaudes un par tām ziņotu. Būtībā CSDD vēlās, lai tam tiktu sniegti ziņojumi par ievainojamībām tieši tā, kā to izdarīja Raimonds. Tas norāda uz CSDD vēlmi uzlabot savas drošības sistēmas ar ārēju palīdzību, taču šis gadījums atklāj būtiskas problēmas šajā procesā.

CSDD, kā mēs zinām, ir valsts akciju sabiedrība, kas uztur milzīgu apjomu ar personu datiem. Šie personu dati ir pakļauti gan Vispārīgajai datu aizsardzības regulai (VDAR, angl. GDPR), gan Nacionālās kiberdrošības likumam, kas stājās spēkā septembrī. Datu noplūdes incidenta izmaksas var sasniegt miljonus — gluži kā Tet gadījumā.

Tagad parunāsim par pašu ievainojamību. Raimonda atklājums pēc OWASP standartiem tiek klasificēts kā “A01 Broken Access Control” (bojāta piekļuves kontrole). Tas pēc OWASP 2021. gada definīcijas ir kritiskākais web aplikācijas drošības risks, ko arī šajā konkrētajā gadījumā ir viegli pierādīt pēc CVSS metodoloģijas, jo no publiski pieejamās informācijas var secināt, ka pastāvēja iespēja piekļūt ikviena kontam (konfidencialitāte) un veikt izmaiņas, tostarp pārreģistrēt auto citam īpašniekam (integritāte).

Ņemot par piemēru Uber, kas jau ir saskāries ar datu noplūdi un no tā izrietošajām sekām — par kritisku ievainojamību pētniekam tiek piedāvāts no desmit līdz piecpadsmit tūkstošiem dolāru. Savukārt Booking un Udemy piedāvā trīs un divus tūkstošus dolāru attiecīgi. Šie piemēri parāda, ka uzņēmumi un institūcijas šādas situācijas uztver nopietni tikai pēc zaudējumiem reputācijā un finansēs. Bieži vien sabiedrība neaizdomājas, ka arī viņi ir zaudētāji. Ja “neētiskajiem hakeriem” neizdodas iegūt peļņu no pašas organizācijas, tie pārdod datus, kas tiek izmantoti krāpšanās, identitātes zādzībās un citos uzbrukumos.

Raimonda gadījumā vienīgais “noziegums” bija tūkstoša eiro pieprasīšana par savu darbu un “draudēšana ar publicitāti”. Par otro es pat necentīšos argumentēt, jo šobrīd tas jau ir acīmredzami, cik absurdi tas ir. Tomēr šeit uzdošu jautājumu — kādēļ sabiedrībai nevajadzētu zināt par draudiem, kas skar viņus? “Security by obscurity” jeb drošība caur neinformētību sen ir pierādīta kā neefektīva un nepareiza pieeja. Šajā gadījumā nav informācijas par reālu noplūdi, taču, ja nav veikta padziļināta izpēte (forensics), datu noplūde būtu jāuzskata par notikušu.

Par tūkstoša eiro pieprasīšanu varētu diskutēt, vai tas bija ētiski, taču tas ir vispārpieņemts standarts, ka tiek maksāta atlīdzība par ievainojamības atklāšanu — ne velti angliski to sauc par “bug bounty”. Starptautiskie līderi kā HackerOne un Intigriti caur kuriem kompānijas piesakās pašas uz auditēšanu (gluži kā CSDD to dara cvd.cert.lv bez maksas) jau norāda diapazonu, cik par konkrēta mēroga ievainojamību tiks izmaksāta atlīdzība, bez prasīšanas, jo galu galā apzinās, ka tas ir ieguldījums organizācijas reputācijā un tās klientu drošībā. Pieņemsim, ka šī pieprasīšana tomēr ir pilnīgi neētiska — tad tomēr man aizvien rodas jautājums, kādēļ vienkāršāk nav atbildēt “nē, izmaksu neveiksim”. Raimonda nolūki saprotami nav bijuši ļaundabīgi, tika ziņots, sistēmu darbība netika ietekmēta un nesankcionētas darbības nav veiktas. Traktēt šo kā izspiešanu ir milzīgs pārspīlējums — tas ir kā salīdzināt izspiedējvīrusu (ransomware) tipa uzbrukumus, kur tiek šifrēti terabaiti ar datiem un paralizēta jebkāda organizācijas darbība pret simtiem tūkstošu vai pat miljonu atlīdzības pieprasījumu. Lai padarītu CSDD reakciju vēl absurdāku — tiek pieprasīti trīs ar pusi tūkstoši par darbinieku virsstundām, kas labo paša CSDD nepilnību, un samaksu drošības konsultācijas uzņēmumam, kurš a) variantā iepriekš netika piesaistīts, kas ir akmens CSDD lauciņā, vai b) variantā — netika atklājis konkrēto ievainojamību, kas pastiprina Raimonda ziņojuma vērtīgumu.

Līdz ar ko man nav saprotams, kādēļ tiek tērēti valsts resursi 5 gadus cīnoties ar personu, kura faktiski uzlaboja valsts iestādes drošību? Šāds precedents tikai demotivē potenciālos drošības pētniekus un var radīt situācijas, kurās ievainojamības netiek ziņotas, bet izmantotas ļaunprātīgi. Ir svarīgi veidot vidi, kurā drošības pētnieki jūtas aizsargāti un atbalstīti, nevis sodīti par savu ieguldījumu drošības uzlabošanā.