Ekkert nema styrkleikamerki að birta öryggisveikleika

Theódór Gíslason er stofnandi Defend Iceland, netöryggisráðgjafi og tæknistjóri Syndis. Hann er einn af fyrirlesurum á ráðstefnu Fjarskiptastofu um netöryggismál á Hilton Reykjavík Nordica í dag. Erindið kallast „einum veikleika frá ‚Game over‘“ eða búið spil. Þar færir hann rök fyrir því að öryggisveikleikar séu á vissan hátt jákvæðir.

„Öryggisveikleiki sem er misnotaður er náttúrulega mjög alvarlegur og getur haft gríðarlega alvarlegar afleiðingar alveg eins og margir hafa séð. Hugmyndin er sem sagt sú að ef öryggisveikleiki finnst á ábyrgan hátt og er tilkynntur á ábyrgan hátt og meðhöndlaður á ábyrgan hátt og birtur á ábyrgan hátt, þá erum við öll ábyrgari sem samfélag. Alveg eins og að við viljum vita hvernig veðrið er, hvort það séu sprungur í jarðskorpunni í jörðinni undir okkur og allt þetta.“

Theódór segir sögur frá Defend Iceland þar sem svokallaðir heiðarlegir hakkarar eru farnir að tilkynna öryggisveikleika og þannig efla öryggismenningu í netheimum.

„Birting er það sem á ensku kallast „responsible disclosure“ eða ábyrg birting á veikleikum. Þetta tíðkast erlendis og er yfirleitt álitið traustmerki. Til að byrja með er ég að tala um að vinna með háskólanum og að við nýtum þetta í menntun og hjá tölvunarfræðingum og þeim sem eru í tölvugeiranum svo við megum læra af þessum veikleikum þó að þeir verði ekki misnotaðir. Þetta er hugarfarsbreyting af því að fólki finnst óþægilegt að ræða þessa hluti, að sýna á sér veikleikamerki en öryggisveikleiki sem er meðhöndlaður ábyrgt er ekkert annað en styrkleikamerki.“