If a man does not keep pace
with his companions, perhaps
it is because he hears a
different drummer.
Henry David Thoreau
Pravidlá upozorňovania a na čo budú slúžiť
V predchádzajúcom článku som Vás oboznámil s prácou dvoch expertov z oblasti informačných technológií, Jozefa Vyskoča a Rastislava Tureka, ktorá niesla názov "Zodpovedný prístup k upozorňovaniu na bezpečnostné nedostatky". K obsahu a drobným nezrovnalostiam v samotnom dokumente som sa už v diskusii na blogu Rastislava Tureka vyjadril a môj komentár je možné nájsť tu. V tomto článku sa v krátkosti pokúsim načrtnúť, prečo je existencia takýchto pravidiel podľa môjho názoru dôležitá a potrebná.
Zásady reportovania chýb webových aplikácií v podaní Vyskoča a Tureka majú ambíciu určovať pravidlá hry na internete v oblasti bezpečnosti webových aplikácií. Je tomu tak najmä preto, že na Slovensku neexistuje dostatočná legislatíva, ktorá by túto problematiku riešila.
Nedostatočná a nepresná legislatíva
Naše zákony, ktoré sa sveta informačných technológií priamo týkajú, sú veľmi všeobecné a tým pádom v reálnom svete takmer neaplikovatelné. Znamená to buď to, že v spore útočník-poškodený, respektíve oznamovateľ-prevádzkovateľ vyhrá ten, kto si dokáže zaplatiť lepšieho právnika, alebo to, že je nevyhnutné dať do povedomia základné pravidlá hry, ktoré aspoň neformálne zadefinujú, čo sa smie, čo možno klasifikovať ako zámerné poškodenie, či naopak, ako nedbalosť či nezáujem zo strany prevádzkovateľa.
Vznik odbornej komunity
Iniciatíva, ktorú Vyskoč s Turekom vyvíjajú smeruje k tomu, že by na Slovensku a v Čechách mohla v priebehu krátkej doby vzniknúť komunita ľudí, ktorí by mali na základe svojich aktivít a dôsledného dodržiavania týchto a prípadných ďalších pravidiel dobré vzťahy s profesionálnou verejnosťou, v rámci ktorej by sa mohli umiesniť ako objektívny pozorovatelia a posudzovatelia sporných prípadov. Vznik takejto komunity by teda mohol pomôcť pri riešení súdnych i mimosúdnych procesov súvisiacich s témami narušenia bezpečnosti informačných systémov.
Definovanie obsahu komunikácie
Jedným z najprirodzenejších a zároveň i najzákladnejších prínosov sady taýchto pravidiel pre oznamovanie bezpečnostných chýb webových informačných systémov je jednoznačné definovanie formy a obsahu komunikácie, a to jednak vzhľadom na stranu oznamovateľa, ako aj na prevádzkovateľa aplikácie. Pokiaľ by tieto pravidlá boli odsúhlasené širšou odbornou verejnosťou z "oboch" strán, samostatne by sa mohli pretransformovať aj na všeobecné pravidlá komunikácie medzi dotknutými stranami a pomohli by tým pri vytvorení určitej virtuálnej etikety.
Budúcnosť projektu
Pokiaľ by to, čo sa doteraz urobilo malo mať význam, je nevyhnutné, aby sa do diskusií súvisiacich s touto témou zapojilo čo najviac kvalifikovaných ľudí. Verím tomu, že prínos takéhoto riešenia si uvedomuje každý, a že na základe toho bude každý aj konať. Pokiaľ bude o definovanie pravidiel založených na konsenzoch dostatočný záujem, tento aktuálne malý projekt môže prerásť do prekvapivo veľkých rozmerov, v rámci ktorých by následne bolo možné presadzovať niektoré dôležité odborné návrhy aj v rámci platnej legislatívy tohto štátu. A to už znie viac než dobre. Reálny prínos tejto snahy však ukáže až čas a miera aktivity dotknutých ľudí.
- Pre písanie komentárov sa musíte prihlásiť alebo zaregistrovať.