Berta Sándor
Nem érdek a biztonságos internet?
Még egy országon belül is komoly véleménykülönbségek lehetnek arról, hogy mennyire legyen biztonságos a világháló.
A német kormány és a Szövetségi Hírszerző Szolgálat (BND) között komoly vita alakult ki azzal kapcsolatban, hogy miként kell kezelni az IT-biztonsági hibákat. A kabinet és az azt képviselő külügyminisztérium ugyanis azt az álláspontot képviseli, hogy nem szabad ezekkel a hibákkal visszaélni, míg a BND szeretné azokat kihasználni. A szaktárca együttműködik az Egyesült Nemzetek Szervezetének (ENSZ) szakértői csoportjával azért, hogy a nulladik napi sebezhetőségekkel világszerte sehol ne éljenek vissza. Az IT-biztonsági szakértők szükségesnek és fontosnak tartották a kooperációt, s e szándék kinyilvánítását, míg a BND képviselői nem.
A munkacsoport egyébként 2015 óta dolgozik a kérdésen és azt ajánlotta, hogy minden ország hozza nyilvánosságra az általa felfedezett IT-biztonsági problémákat, valamint tájékoztassa a dologról az érintetteket. Az ENSZ közgyűlése egyhangúlag elfogadta az ajánlást. A német külügyminisztérium mindezt úgy kommentálta, hogy bár az ajánlás nem kötelez senkit semmire, de egy rendkívül erős politikai nyilatkozat.
A titkosszolgálatok számára a nulladik napi hibák figyelmen kívül hagyása számos területen megnehezítené a munkát. A vita egyébként nem csupán Európában bontakozott ki, hanem az Amerikai Egyesült Államokban is. Az amerikai kormány mindig a Vulnerabilities Equities Process (VEP) nevű eljárások keretében vizsgálja meg, hogy mennyire veszélyesek az egyes sebezhetőségek, majd azt is, hogy az adott hibát a titkosszolgálatok kihasználhatják-e a saját céljaikra vagy értesítik-e az érintett rendszerek gyártóit, illetve üzemeltetőit. Ugyanakkor semmilyen garancia nincs arra, hogy a titkosszolgálatokkal szemben a gyártók vagy a felhasználók érdekeit előtérbe helyezik. Éppen ezért bírálják az USA-ban a VEP-et. A folyamat ugyanis nem átlátható és ez már önmagában gondoskodhat késedelmekről, amely fenyegetést jelenthet a rendszerekre.
A német kormány és a Szövetségi Hírszerző Szolgálat (BND) között komoly vita alakult ki azzal kapcsolatban, hogy miként kell kezelni az IT-biztonsági hibákat. A kabinet és az azt képviselő külügyminisztérium ugyanis azt az álláspontot képviseli, hogy nem szabad ezekkel a hibákkal visszaélni, míg a BND szeretné azokat kihasználni. A szaktárca együttműködik az Egyesült Nemzetek Szervezetének (ENSZ) szakértői csoportjával azért, hogy a nulladik napi sebezhetőségekkel világszerte sehol ne éljenek vissza. Az IT-biztonsági szakértők szükségesnek és fontosnak tartották a kooperációt, s e szándék kinyilvánítását, míg a BND képviselői nem.
A munkacsoport egyébként 2015 óta dolgozik a kérdésen és azt ajánlotta, hogy minden ország hozza nyilvánosságra az általa felfedezett IT-biztonsági problémákat, valamint tájékoztassa a dologról az érintetteket. Az ENSZ közgyűlése egyhangúlag elfogadta az ajánlást. A német külügyminisztérium mindezt úgy kommentálta, hogy bár az ajánlás nem kötelez senkit semmire, de egy rendkívül erős politikai nyilatkozat.
A titkosszolgálatok számára a nulladik napi hibák figyelmen kívül hagyása számos területen megnehezítené a munkát. A vita egyébként nem csupán Európában bontakozott ki, hanem az Amerikai Egyesült Államokban is. Az amerikai kormány mindig a Vulnerabilities Equities Process (VEP) nevű eljárások keretében vizsgálja meg, hogy mennyire veszélyesek az egyes sebezhetőségek, majd azt is, hogy az adott hibát a titkosszolgálatok kihasználhatják-e a saját céljaikra vagy értesítik-e az érintett rendszerek gyártóit, illetve üzemeltetőit. Ugyanakkor semmilyen garancia nincs arra, hogy a titkosszolgálatokkal szemben a gyártók vagy a felhasználók érdekeit előtérbe helyezik. Éppen ezért bírálják az USA-ban a VEP-et. A folyamat ugyanis nem átlátható és ez már önmagában gondoskodhat késedelmekről, amely fenyegetést jelenthet a rendszerekre.