Mokslas ir IT

2020.09.26 22:01

Nori įteisinti etiškų įsilaužėlių darbą: tikrintų sistemų saugumo spragas

Izabelė Pukėnaitė, LRT TV naujienų tarnyba, LRT.lt2020.09.26 22:01

Krašto apsaugos ministerija siekia reglamentuoti etiškų kompiuterių įsilaužėlių darbą. Dar vadinami baltakepuriai programuotojai gali bandyti įsilaužti į kompiuterį ar jų sistemą ir taip patikrinti, ar nėra saugumo spragų ir apie jas pranešti jų administratoriui. Šis spragas privalėtų pašalinti. Krašto apsaugos ministerija teigia, kad iki šiol koordinuotos tvarkos, kaip tai padaryti, nebuvo. Pasak Kibernetinio saugumo specialistų, jos reikėjo seniai, bet ir parengtoje tvarkoje mato trūkumų.

Programuotojas Tomas pats programuoja ir to moko kitus. Vienas iš programavimo dalykų – etiškas įsilaužimas į kompiuterį ar jų sistemą. Etiški programišiai, dar vadinami baltakepuriais, paprastai bando įsilaužti į įvairių įstaigų sistemas ir atrasti jų saugumo spragas.

„Pagrindinis to tikslas yra įvertinti rizą, parodyti silpnąsias vietas, duoti rekomendacijas, kaip jas galima būtų ištaisyti“, – sako „CodeAcademy“ dėstytojas, „baltakepuris“ programuotojas Tomas Savėnas.

Siekiama reglamentuoti etiškų kompiuterių įsilaužėlių darbą: „baltakepuriai“ tikrintų saugumo spragas

Baltakepuriai programišiai, kaip Tomas, apie saugumo spragas informuoja sistemų valdytojus, kad šie trūkumus pašalintų. Tačiau geras tikslas nepateisina grubių būdų įsilaužti į sistemą.

Etiški programišiai, lyg šachmatų karaliai, gali judėti tik pagal taisykles ir į kompiuterius laužtis pavyzdžiui, apie tai žinant kompiuterio savininkui, pasinaudoti paties vartotojo naršyklėje paaaalikta informacija.

Baltakepuris programišius, negali daryti neetiškų judesių, kurie leistini tik kitoms figūroms, pavyzdžiui rengti brutalios atakos slaptažodžiams nulaužti ar sutrikdyti pačios sistemos darbo, negali perduoti rastos informacijos tretiesiems asmenims.

Krašto apsaugos ministerija parengė Kibernetinio saugumo įstatymo pakeitimo projektą – pagal jį etiški įsilaužėliai galėtų bandyti valstybės įstaigų sistemas ir pranešti apie jų trūkumus.

„Šiai dienai nėra jokio koordinuoto proceso, kaip tai padaryti, todėl organizacijos jaučiasi mažiau saugios, nes nežino, ką gali baltakepuriai hakeriai daryti, ir nesijaučia saugiai, nes nežino, ar gali būti persekiojami dėl savo veiksmų“, – tikina Jonas Skardinskas, Krašto apsaugos ministerijos atstovas.

„Dabar natūraliai užsienio šalys, užsienio vartotojai gali ant mūsų testuotis, o mes patys ne, tai šioje situacijoje mūsų pačių IT tiekėjai, kad ir studentai ar mokslininkai tyrėjai, jie galės viešai teikiamas paslaugas testuoti“, – teigia VU Matematikos ir informatikos fakulteto docentas Linas Bukauskas.

Anksčiau elektroninės sveikatos sistemos saugumo trūkumus atskleidęs kibernetinio saugumo ekspertas Darius Povilaitis teigė kreipęsis į valdžios institucijas, tačiau jokios reakcijos neuslaukė, todėl informaciją perdavė žiniasklaidai. Už tai jam iškelta baudžiamoji byla. Dabar krašto apsaugos ministerijos siūlomuose įstatymo pakeitimuose siekiama įtvirtinti prievolę baltakepuriams programutojams apie aptiktas saugumo spragas pranešti sistemų administratoriams, bet D. Povilaitis sako abejojantis ar tai būtinai duos naudos.

„Ten viskas paviršiuje gulėjo, tos problemos e.svaikatoje egzistavo 3 metus. Ne visą informaciją aš tada atskleidžiau ir neplanavau daugiau atskleisti, bet tai išsivystė į visokias problemas, tada teko tą informaciją viešinti, po to žiūrėkite, kas nutiko, ta pati nuostabi sistema užpilama, į bet kokius perspėjimus gi niekas nereaguoja“, – sako D. Povilaitis.

Krašto apsaugos ministerija tikisi, kad įstatymo pakeitimai paskatins baltakepurių programuotojų aktyvumą ir dėl to ateityje pavyks atrasti daugiau valstybės įstaigų kompiuterių tinklo saugumo sprangų,kurias reikės taisyti.