Чтение новостей о сильных мира сего в очередной раз натолкнуло на мысли о том, что нам всем тоже есть чему у них поучиться. На сей раз речь идет о выплатах наград за обнаружение уязвимостей в тех или иных популярных приложениях. "Ну а при чем тут мы?", спросите вы. На самом деле, на мой взгляд, подобная практика подходит не только крупным производителям разнообразного софта, но и любой компании, которая хочет усовершенствовать собственную систему обеспечения информационной безопасности.
Ведь как обычно бывает? Кто-то находит в корпоративной системе безопасности какое-то узкое место, служба безопасности, боясь получить за это по голове от руководства организации, всеми правдами и неправдами замалчивает информацию об этом, пытаясь нередко прямо-таки "утопить" того, кто "имел наглость" найти, так сказать, уязвимость. Ну а сама уязвимость что? Прекрасно себе живет и существует. Иногда, правда, бывает несколько по-другому. Кто-то, найдя уязвимость, скажем, в корпоративном сайте, оставляет ненавязчиво на нём свой "автограф", после чего и подрядчику, выполнявшему сайт, и, зачастую, службе ИБ становится очень даже не весело.
Так вот, правильная цель любой организации в подобных ситуациях - это избавляться от всех возможных уязвимостей. Поэтому нужно, во-первых, отказаться от "пропесочивания" службы ИБ при их обнаружении (речь вовсе не только об уязвимостях корпоративного сайта - имеется в виду уязвимость в самом широком смысле этого слова). А для того,чтобы заинтересовать тех, кто способен находить уязвимости, нужно объявить награду за их обнаружение. Не обязательно, конечно, такую баснословную, как Microsoft за уязвимости Internet Explorer'а, но и не совсем копеечную. Ну и, конечно, нужно позаботиться о том, чтобы информация об уязвимостях использовалась по назначению.
А. Дрозд,
заместитель PR-директора компании SearchInform
Комментариев нет:
Отправить комментарий