Güvenlik açığının açıklamasında etik ilkeler

Bir güvenlik açığı açıklamasının çözdüğünden daha fazla soruna neden olmamasını sağlamak birkaç etik ilke önerisinde bulunacağız.

Herhangi bir kompleks BT sistemi, yazılımı veya donanımı geliştirilirken hatalar ve güvenlik açıkları oluşması neredeyse kaçınılmazdır. Bu hatalar genellikle yazılımı veya donanımı üreten şirketin çalışanları ve teknik uzmanları tarafından değil, dış araştırmacılar tarafından bulunur. Bu hataları ve potansiyel açıkları ortadan kaldırmak, araştırmacılarımızın ve uzmanlarımızın da üzerinde çalıştığı güçlü siber güvenliğin temelini oluşturmaktadır. Bu nedenle, hataların ve yanlışlıkların asıl kaynağı olan insanlar, doğru zamanda tespit ve düzeltme işlemleri için de kilit faktör rolündedir. Aynı zamanda, söz konusu hata düzeltme sürecinin, sorunu ortadan kaldırmak yerine yeni riskler ve hatalar yaratabileceği potansiyelini taşıdığını da göz önünde bulundurmak önemlidir.

Biz Kaspersky olarak, diğer kuruluşların sistemlerinde güvenlik açıkları bulduğumuzda izlediğimiz süreç olan sorumlu güvenlik açığının açıklanması (RVD) sürecinde açık ve şeffaf etik ilkelere bağlıyız. Sahip olduğumuz beş ilke, 23 yılı aşkın küresel çalışmalarımıza dayanıyor ve en iyi uygulamalardan ve özellikle Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST) Davranış Kuralları‘ndan ilham almaya devam ediyoruz. Her koşulda, kullanıcılarımızın (Kaspersky ürünlerini ve çözümlerini kullanan kişi ve kuruluşların) güvenliğine büyük önem veriyoruz.

Aynı zamanda, ilgili tüm tarafların çıkarlarına da saygı duyuyoruz: Ürününde güvenlik açığı bulunan kişiler veya kuruluşlar, onların müşterileri (potansiyel kurbanlar) ve bir bütün olarak siber güvenlik endüstrisi.

İlkelere uygun hareket edilmesi, daha güvenli bir bilgi ve iletişim teknolojisi (ICT) ekosistemi oluşturmak adına şeffaf, sorumlu ve tutarlı bir şekilde hareket etmemizi sağlıyor. Bununla birlikte, bu gibi bir yaklaşımın tüm BT endüstrisinde var olabilmesi için, diğer sağlayıcıların ve bunlara bağlı kullanıcılarının, bağımsız araştırmacıların, düzenleyici kurumların ve diğer ilgili tarafların da yol gösterici olarak bu gibi bir hedef belirlemesi gerekiyor. Bu nedenle, diğer şirketlerin yazılımlarında bulunan güvenlik açıklarının sorumlu bir şekilde açıklanması için ilkelerimizi yayınlamaya kararı aldık. Öncü kolda yer alıyoruz.

1. İlke: Güven oluşturun

Bilgi güvenliğinin temelinde belirli düzeyde bir güvensizlik yer alır. Ancak güven oluşmadığı sürece güvenlik açığı açıklamaları da işe yaramayacaktır; bu nedenle, “güven duy ancak doğrula” yaklaşımı doğrultusunda tabii ki eylemlerin koordine edilmesi ve güvenlik açığının zarara sebep olmaması için zaman ve çaba harcasak da tarafların temel motivasyonun karşılıklı yardımlaşma olduğunu varsayıyoruz. Güvenlik açıkları hakkında bilgileri açıklarken amacımız eğlence ya da rekabetten ziyade kullanıcıların ve toplumun çıkarlarını korumak ve güvenliği sağlamaktır.

2. İlke: Öncelikle etkilenen tarafı bilgilendirin

Güvenlik açığının açıklanması, yanıt vermeyen ve hatta ulaşılamayan katılımcılar gibi birçok engelle karşılaşabileceğiniz karmaşık bir süreçtir. Bu tür sorunlara rağmen, etkilenen sağlayıcılara doğru zamanda ve kesin bilgi vermek kritik bir önem bir taşır. İlk olarak, güvenlik açığını ortadan kaldırma ve kullanıcı riskini en aza indirme çalışmalarını ortak şekilde koordine ediyoruz. Bunun için de, sağlayıcının güvenlik açıkları hakkındaki bilgileri raporlamak ve işlemek için açık ve şeffaf bir yol sunması gereklidir (bu sürecin Kaspersky içerisinde nasıl yürütüldüğü hakkında daha fazla bilgi için burada ve burada yer alan bağlantılara göz atabilirsiniz).

3. İlke: Gösterilen çabaları koordine edin

Herkesçe bilindiği üzere, her güvenlik açığı birbirinden tümüyle farklıdır. Bazıları tek bir ürünün kullanıcılarını tehdit ederken diğerleri birden fazla tarafı etkileyebilir (örneğin, karmaşık tedarik zincirlerine sahip uluslararası şirketlerin yer aldığı vakalarda). Güvenlik açıkları, kritik altyapıyı ve kamu sektörü ağlarını da etkileyebilir; ulusal güvenliği dahi tehdit edebilir. Aynı zamanda, ilgili taraflar yalnızca araştırmacılar ve tedarikçiler değildir; düzenleyici kurumlar, müşteriler, bağımsız araştırmacılar ve beyaz şapkalı hackerlar da sürece dahil olabilir. Tüm paydaşlar arasında etkin koordinasyon için en iyi uluslararası uygulamaları rehber kabul ederiz (örneğin, güvenlik açığının açıklanmasında ISO/IEC 29147:2018 standardı). Özellikle, tüm katılımcılara kapsamlı bir güvenlik açığı analizi ve iyileştirme geliştirme için yeterli bir süre sağlamaya çalışıyoruz.

4. İlke: Uygun olan noktada gizliliği koruyun

Bir güvenlik açığıyla ilgili teknik bilgiler işlemin çok erken bir döneminde ortaya çıkarsa, saldırganlar bundan faydalanabilir. Bu nedenle, azaltma önlemleri geliştirmesi ve ardından raporlama için en güvenilir ve güvenli iletişim kanalları üzerinden çalışması gereken taraflarla bilgileri gizli bir şekilde paylaşıyoruz. Aynı nedenden dolayı, açıklama hüküm ve koşullarını sağlayıcıyla müzakere ederiz. Bununla birlikte, bir sağlayıcıdan yanıt alamazsak, güvenlik açığının ciddiyetine, ölçeğine ve riskin aciliyetine bağlı olarak, açıklamayı kendi iletişim kanallarımız üzerinden iç politikalarımıza, yerel düzenlemelere ve endüstrinin en iyi uygulamalarına uygun şekilde açıklarız ve bu süreçte sağlayıcıyı bilgilendirmeye devam ediyoruz.

5. İlke: İstenen davranışı teşvik edin

Sektördeki çabalara karşın, siber suçlular güvenlik açıklarını aramaya ve bulmaya devam ediyor. Bu nedenle, güvenlik açıkları hakkında sorumlu bir şekilde rapor veren ve sorumlu bir açıklama yapmak için sektördeki en iyi uygulamalara uygun hareket eden herkesi açıkça desteklemenin önem arz ettiğini olduğunu düşünüyoruz.

Güvenlik açığı açıklamasını korumak

Tüm taraflar benzer etik ilkelere bağlı kaldıkları sürece, ICT ekosistemini sadece daha güvenli değil, aynı zamanda kullanıcılarımız, yani çalıştığımız insanlar için daha sağlıklı ve öngörülebilir hale getirmek için birlikte çalışabileceğimize inanıyorum.

Küresel Bilgi Şeffaflığı Girişimi sayfası üzerinden RVD Etik İlkeleri hakkında daha fazla bilgi alabilirsiniz.

İpuçları