7 lat więzienia, ponieważ pracownik... nie zaktualizował programu. To rzeczywistość

Pracując w sferze IT wiadomo, że o ile bardzo bardzo wiele zależy od umiejętności samego pracownika, to zawsze błędy i ogólne problemy systemowe są nieodłącznym elementem tej rzeczywistości. Niestety, dziś skomplikowane sieci zależności wewnątrz systemów i sieci komputerowych często powodują, że takie rzeczy, jak systemy całkowicie odporne np. na ataki z zewnątrz zwyczajnie nie istnieją. Co innego jednak, kiedy naruszenie bezpieczeństwa wynika z czynników na które pracownicy nie mieli wpływu, a inaczej - jeżeli zadanie atakującym ułatwili sami podwładni. Nie raz nie dwa słyszeliśmy, że nawet bardzo złożone systemy można obejść prostym atakiem phishingowym, wyciągając kluczowe dane od oszukanych pracowników. Wiadomo, że za naruszenia protokołów bezpieczeństwa można wyciągnąć konsekwencje. Co jednak, jeżeli naruszenie nie jest działaniem, a... brakiem działania?

Brakujące poprawki bezpieczeństwa ułatwiły atak. Pracownicy staną przed sądem

Opisywana sytuacja miała miejsce w przypadku pracowników sektora rządowego w Albanii. W czerwcu Albania została zaatakowana przez hakerów, którzy byli w stanie wyłączyć wiele rządowych witryn i usług z użytkowania, paraliżując na jakiś czas działanie części kraju. Atak został przypisany Iranowi (w rezultacie czego zostały zerwane relacje dyplomatyczne pomiędzy tymi dwoma krajami) i zaczęło się dochodzenie, które miało wykazać, co spowodowało, że rządowe komputery uległy atakowi.

W toku tego postępowania ustalono, że wirus, który zaatakował komputery korzystał z luki bezpieczeństwa w programie Microsoft SharePoint. Luki, która była dobrze znana i załatana już w 2019 roku, na dwa lata przed wspomnianymi atakami. Wiedząc to, władze Albanii zdecydowały się zastosować areszt domowy wobec 5 pracowników rządowych, którzy nie dokonali aktualizacji, przez co, jeżeli wierzyć raportowi, atak był znacznie ułatwiony.

Powstaje pytanie, czy taki wymiar kary to dobre praktyki, jeżeli chodzi o cyberbezpieczeństwo. Śmiem wątpić, by wspomniani pracownicy, o ile faktycznie dopuścili się zaniedbania, to wynikało ono z faktu, że chcieli oni celowo zostawić w systemie lukę dla wirusa. Dużo bardziej prawdopodobne jest, że za brakiem instalacji poprawek stoi wiele trywialnych powodów, jak chociażby fakt, że nowe aktualizacje potrafią często psuć niektóre ważne funkcjonalności, bądź też - kompatybilność aktualizowanego programu z innymi aplikacjami.

Czytaj dalej poniżej

Tutaj jeńców się nie bierze. Chodzi o chaos i zniszczenie Mirosław Mazanec

Chińczycy stworzyli pelerynę niewidkę. Tylko tak mogą ukryć się przed okiem kamer Patryk Koncewicz

Dlatego też, chociaż uważam, że cyberbezpieczeństwo, szczególnie na poziomie rządowym, powinno być egzekwowane z najwyższą starannością, łatwo zobaczyć, do jakich konsekwencji mogą prowadzić działania takie, jak areszt dla pracowników i grożenie im 7 latami więzienia. Przede wszystkim - realnie odstraszy to od pracy ludzi, którzy faktycznie mają duże umiejętności i wiedzę z zakresu security - kto by chciał pracować w miejscu, gdzie karą za pomyłkę jest więzienie? Poza tym, może to prowadzić do sytuacji, w której wszelkie poprawki i aktualizacje będą pobierane bez wcześniejszych testów, tylko i wyłącznie dlatego, by uniknąć potencjalnej odpowiedzialności karnej. A to z kolei może samo z siebie prowadzić to wielu problemów, ponieważ wiemy, że nie tak znowu rzadko aktualizacje (szczególnie systemu Windows) mogą prowadzić do problemów czy podatności.

Oczywiście, zapewne nie było tak w tym przypadku i atak na albańskie strony rządowe faktycznie był możliwy jako efekt zaniedbania. Jednak w takim wypadku areszt dla pracowników nie tylko jest działaniem nieco nieodpowiednim do przewinienia, ale też - może w dłuższym okresie negatywnie wpłynąć na poziom bezpieczeństwa IT w sektorze rządowym.

Źródło