BKK–T-Systems - Az etikusnak mondott hacker és a vérben tunkolók

Az igazán izgalmas téma arról ismerszik meg, hogy vele kapcsolatban nehéz szóra bírni a mértékadó szakembereket. Különösen akkor, ha még nem minden részlet világos, és különösen akkor, ha a dolog szorosan köthető az IT-biztonsághoz, az IT-biztonság mint szakma művelőihez.

Úgy hozta a sors, hogy a történetben megkésve merültem el - távol voltam éppen az itthontól, hogy otthon lehessek. Talán jobb is így, hiszen hazaérkezésemkor teljes összetettségében egyszerre tárult elém az ügy, nem teremtődött közben alkalom arra, hogy egy-egy fordulat pillanatnyi hatására beleszeressek valamilyen gyorsan kialakított ítéletembe.   

Kiváló kollégám, Kelenhegyi Péter, amikor összefoglalta az ő olvasatát, már az elején hangsúlyozta, hogy a BKK webshopjának hibáit felfedő ifjú történetéről nyilatkozók, kommentelők sorából neki hiányoznak azok, akikre a magunkfajták igazán hallgatni szoktak. Ennek minden bizonnyal megvan az oka - gondoltuk mindketten.

Közelítsünk a szélsőséges indulatokat kiváltó ügyhöz olyasvalaki szemszögéből, aki az IT- vagy kiberbiztonság megbecsülésnek örvendő szakembere, s aki nem futó kalandnak, nem gyors pénzszerzési kísérletnek tekinti az e téren kifejtett munkásságát, hanem várhatóan erről a szakterületről fog majd nyugalomba vonulni, bármit is jelentsen ez!

           

És hogy még világosabbá tegyem e megközelítést, nem az efféle ügyek feldolgozásában legzajosabban ágáló, az ügytápláléklánc utolsó szemeként fellépő politikus nézőpontjából tekintek most az ügyre. Ezért nem is fogok néhány bakugrással eljutni a rendszerhibától a nemzethalálig és a mindenkimonjonleig.

Egy felhasználó hibára lel egy frissen élesbe fordított webes szolgáltatásban, izgalomba jön, jelzi a működtetőknek a hibát. A működtetők, akik az erőltetett tempójú bevezetés miatt amúgy is feszültek, óriási nyomás alá kerülnek. Ha jól értem, a hibáról a felfedezője tájékoztatja a sajtót vagy annak valamely képviselőjét, amely vagy aki teljes krafttal rááll a témára. Kitör a botrány. Ami ettől fogva történik, az inkább a kommunikáció, később pedig a politika szakterületére tartozik.

Mi maradjunk az IT-biztonság dimenziójában, és vizsgáljunk meg két elemet benne!

Először is: az a felhasználó, aki talál egy rendszerhibát, és jelenti azt, nem biztos, hogy etikus hacker. Hogy kit is nevezhetünk etikus hackernek, arról többféle meghatározás forog közszájon, ezért nem igazán verhetjük el a botrány fölpumpálásán fáradozókon a port, amikor ők hős etikus hackerként emelik vállukra a buzgó felhasználót.

Viszont: ha a szomszédom, amikor elvonul két hétre nyaralni, nyitva hagyja a családi házának földszinti ablakát, amelyet rács sem véd, akkor mi, mint jó szomszéd, amint észlejük e sérülékenységet, azonnal hívjuk őt. És ha semmilyen módon sem sikerül vele kapcsolatba lépnünk, egyet biztosan nem teszünk: nem publikáljuk valamely közösségben vagy közösségi oldalon, hogy képzeljétek, a szomszéd elhúzott nyaralni, oszt' a földszinti ablakot meg jól tárva-nyitva hagyta. Azon fáradozunk ettől fogva, hogy az általunk felfedett sérülékenységről olyanokat értesítsünk, akik azt képesek megszüntetni - például van kulcsuk a házhoz.

Másodszor pedig: a BKK webshopjának ügyét övező kommunikációban különösnek tartom, hogy a magukat a kiberbiztonság értőinek, megmondó embereinek pozícionálók közül nem kevesen olyan nyilatkozatokra ragadtatták magukat, amelyekből szerintem nagyon hiányzik valami. Úgy tűnik számomra, hogy a kiberbiztonsággal foglalkozók még nem álltak össze valódi szakmává, amely meghatározza területének legfőbb szakmai és etikai értékeit és szabályait. Egy valódi szakma, amikor beüt a ménkű, nem áll oda a sérültek, áldozatok (többek között saját szakmabéli kollégái) vérében tunkolni, hanem összezár.

És segít a károk felszámolásában, szakmai tanácsokkal támogatja az ügyfelet és a szállítót egyaránt, ha igény van rá, és legfőképpen elemzi a történteket, végül levonja a fontos tanulságokat.

És egyetlen felesleges szóval sem terheli a kommunikációs csatornákat.

Kommentek

comments powered by Disqus