Спецпроекты

ИБ-эксперт спас медицинский фонд от взлома, а на него натравили полицию

Безопасность Бизнес

Специалист по защите информации обнаружил общедоступный репозиторий с конфиденциальными данными и проинформировал его владельцев. Те сперва поблагодарили, но затем натравили адвокатов и силовиков.

Сперва спасибо...

Эксперт по информационной безопасности Роб Дайк (Rob Dyke) обнаружил незащищенный репозиторий в GitHub и проинформировал об этом его владельца — британскую некоммерческую организацию Apperta Foundation, с которой прежде активно сотрудничал. Представители компании сначала горячо поблагодарили его, а затем на него внезапно натравили юристов и полицию, якобы за нарушение законодательства о несанкционированном доступе к компьютерным сетям.

Дополнительной скандальности этой истории придает тот факт, что Apperta Foundation продвигает открытость систем и стандартов — преимущественно в медицинской области, поскольку компанию создал и возглавляет действующий медик. Apperta также активно сотрудничает со службой Национального здравоохранения Великобритании. Сам Роб Дайк специализируется на безопасности облачных ресурсов.

Что же касается репозитория, из-за которого у Дайка начались проблемы, то в нем хранились пароли, ключи API, а также важные финансовые документы, принадлежавшие Apperta.

kop600.jpg
ИБ-эксперт предотвратил кражу данных, но оказался под преследованием полиции

По словам Дайка, этот репозиторий оставался общедоступным как минимум с 2019 г. Дайк утверждает, что проинформировал Apperta в полном соответствии с процедурой ответственного раскрытия данных, принятой в этой организации. С данной процедурой он был хорошо знаком.

Для подтверждения факта передачи информации компании Дайк скопировал, зашифровал и сохранил в безопасном месте данные, которые обнаружились в репозитории, на ближайшие 90 дней. По его словам, это было частью надлежащей процедуры.

...а потом полиция и адвокаты

Спустя примерно неделю эксперт внезапно получил письмо от юристов Apperta, в котором утверждалось, что его действия были незаконными. Это немало удивило Дайка, тем более, что сотрудники Apperta хорошо его знали, и прекрасно понимали, что незаконных действий он совершать не станет.

В интервью изданию Bleeping Computer Дайк заметил, что речь шла об общедоступном репозитории, через который происходила утечка информации, хотя юристы, по-видимому, посчитали, что Дайк произвел хакерский взлом и вывел проприетарные данные из защищенного хранилища, что не соответствует истине. Дайк также предоставил им письменное обязательство удалить любые данные, полученные из этого репозитория, и предоставить подтверждение этому факту. Данные Дайк удалил.

CIO и СTO: как меняется влияние ИТ-руководителей в компаниях?
Новое в СХД

Однако затем он получил письмо из Нортумбрийского полицейского управления, в юрисдикции которого располагается штаб-квартира Apperta, с запросом на дополнительную информации об инциденте, который в этом письме обозначен как нарушение закона о неправомерном использовании компьютерной техники.

Этот закон был принят в 1990 г. и сейчас уже считается устаревшим, поскольку допускает слишком широкие толкования своих положений. Де факто многие виды рутинной деятельности, связанной с информационной безопасностью, могут рассматриваться как нарушения этого закона, включая и получение доступа к общедоступным хранилищам, в которых обнаруживаются конфиденциальные данные. Индустрия давно уже выступает за его пересмотр и уточнения.

Исследования показывают, что до 80% британских экспертов по кибербезопасности опасаются, что их деятельность в любой момент может быть объявлена правонарушением. По сути закон это вполне допускает.

Публичных комментариев со стороны Apperta или правоохранительных органов пока не поступало.

«Отсутствие взаимопонимания между ответственными экспертами по кибербезопасности и правообладателями или вендорами осложняет жизнь обеим сторонам, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — В данном случае все выглядит так, будто кто-то в компании решил прикрыть свою ошибку, выставив Дайка в черном свете и выдав его ответственный и благонамеренный поступок за кибератаку и кражу данных, которых там не было и в помине. Остается надеяться, что эта история быстро закончится в пользу эксперта».