Pagājušajā nedēļā medijus pāršalca ziņa par drošības pētnieka Raimonda Skuruļa notiesāšanu saistībā ar viņa atklāto drošības ievainojamību CSDD informācijas sistēmās. Arī Drošības profesionāļu asociācijas biedri ir drošības pētnieki, tāpēc šādu vēršanos pret Skuruli uzskatām par satraucošu.

Kā norāda mūsu asociācijas biedrs, NATO struktūrās strādājošs drošības pētnieks Nils Putniņš, Raimonda Skuruļa atklājums pēc OWASP standartiem tiek klasificēts kā “A01 Broken Access Control” jeb bojāta piekļuves kontrole. OWASP 2021. gada definīcija paredz, ka tas ir kritiskākais tīmekļa lietojumprogrammu drošības risks. Šajā gadījumā to ir viegli pierādīt, izmantojot CVSS metodoloģiju (Common Vulnerability Scoring System ir nozares standarts datorsistēmu drošības ievainojamību nopietnības novērtēšanai.), jo no publiski pieejamās informācijas var secināt, ka pastāvēja iespēja piekļūt ikviena kontam un veikt izmaiņas, tostarp pārreģistrēt auto citam īpašniekam. Tas nozīmē, ka šī ievainojamība potenciāli apdraudēja visus Latvijas auto īpašniekus un autovadītājus.

Uzskatām, ka Raimonds Skuruls par 1000 eiro izspiešanu apvainots nepamatoti, jo,  ņemot vērā publiski pieejamo informāciju, bija apzinīgi norādījis uz ievainojamību un vispirms ziņojis par to pašai IT sistēmas pārzinei – CSDD. Tikai pēc tam, kad CSDD nespēja iekšēji atklāt ievainojamību, Skuruls par ievainojamības tehnisko aprakstu prasīja minēto naudas summu, jo tās atklāšanai veltīja daudz laika un uzskatīja, ka ieguldījums nav jādāvina.

Jāatzīmē, ka ievainojamību atklāšana organizācijās un uzņēmumos citviet pasaulē tiek apbalvota ar finansiālu atlīdzību un tā ir izplatīta, vispārpieņemta prakse. Piemēram, “Uber” jau ir saskāries ar datu noplūdi un no tā izrietošajām sekām, par kritisku ievainojamību atklāšanu pētniekam piedāvājot no desmit līdz piecpadsmit tūkstošiem dolāru. Līdzīgu praksi attīsta arī “Booking.com” un “Udemy”, pētniekiem piedāvājot attiecīgi trīs un divus tūkstošus dolāru.

Kā viena no Skuruļa apsūdzībām esot arī draudēšana par ievainojamību paziņot plašākai sabiedrībai ar masu mediju starpniecību. Ir absurdi, ka tiesa drošības pētniekam prasa maksāt izdevumus, kas radušies IT pārziņa atbildības rezultātā. Turklāt, cenšoties Skuruli sodīt, jo Latvijas sabiedrība un CSDD sistēmas lietotāji uzzinātu par to, ka datu pārzinis nepietiekami aizsargā viņu datus un tie, iespējams, jau ir pieejami trešajām pusēm. Pēc analoģijas – Iedzīvotājs, kas dzīvo daudzdzīvokļu mājā atklāj, ka māja ir sabrukšanas stāvoklī un par to ziņo būvniekam norādot, ka, ja stāvoklis netiks uzlabots tad par to ziņos citiem mājas iedzīvotājiem. Būvnieks nespējot novērst kritisko stāvokli izdomā vainot pašu iedzīvotāju situācijas atklāšanā un liedz tam ziņot par atklāto citiem mājas iedzīvotājiem.

Kaut gan notikumi risinājušies 2018. gadā, tie ir aktuāli arī šodien. Nesen pieņemtajā Nacionālajā kiberdrošības likumā ir iekļauta koordinēta ievainojamību atklāšana, taču nekas nav minēts par drošības pētnieku aizsardzību no kriminālatbildības, tāpat arī nav minētas tiesības informēt sabiedrību par drošības ievainojamību, ja tā netiek novērsta. Tāpat likumā nav iekļauta arī drošības pētnieku apbalvošana (finansiāla, ar pateicības rakstu vai kā citādi) par ievainojamību atklāšanu.

Vēršam uzmanību, ka 2022. gada 14.decembrī ir pieņemta EIROPAS PARLAMENTA UN PADOMES DIREKTĪVA (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva),  kuras 60. pantā tiek aicinātas dalībvalstis “Ar valsts rīcībpolitiku dalībvalstīm būtu jācenšas, cik vien iespējams, risināt problēmas, kas skar ievainojamības pētniekus, tostarp to, ka tiem var tikt noteikta kriminālatbildība saskaņā ar valsts tiesību aktiem. Ņemot vērā, ka fiziskas un juridiskas personas, kas pēta ievainojamību, dažās dalībvalstīs varētu būt pakļautas kriminālatbildībai un civiltiesiskajai atbildībai, dalībvalstis tiek mudinātas pieņemt pamatnostādnes par kriminālvajāšanas neīstenošanu pret pētniekiem informācijas drošības jomā un viņu darbību atbrīvošanu no civiltiesiskās atbildības.”

CSDD prakse neveicina Latvijas kiberdrošību, tāpec aicinām CSDD pielikt visas pūles, lai reabilitētu Raimondu Skuruli.

N.B. Raimonds Skuruls nav Drošības profesionāļu asociācijas biedrs, kā arī, nav vērsies pie asociācijas. Šis ir asociācijas viedoklis reaģējot uz nozares notikumiem.