Etikus hacker vagy?
Megtaláltad? Felismerted? Hozzáfértél? Kipróbáltad? Mindezt megosztanád, de nincs kivel?
Köztünk marad!
A GovCERT várja ANONIM bejelentésedet!
– írja honlapján, egy ma reggel frissen megjelent felhívásban a magyar állami informatikai rendszerek kibervédelmét ellátó Kormányzati Eseménykezelő Központ (GovCERT).
Az időzítés alapján logikus feltételezés, hogy a felhívást az a múlt heti eset inspirálta, amikor a BKK online jegyértékesítési rendszerét fejlesztő T-Systems feljelentette azt a fiatalt, aki szólt nekik, hogy súlyos hiba van a rendszerükben. A lépés nagy közfelháborodást váltott ki, a cég később bocsánatot is kért, a német anyacég pedig Facebookon határolódott el a magyar leányvállalattól. (A BKK e-jegy-botrányáról szóló cikkeinket ide kattintva találják meg.)
A felhívásban a GovCERT külön kiemeli, hogy bárki tehet bejelentést, akár anonim módon is, de ha valaki mégis úgy dönt, hogy megadja a személyes adatait, azokat bizalmasan kezelik. Csak annyit kérnek, hogy a feltárt sérülékenységet minél részletesebben írja le a bejelentő, hogy ők aztán az alapján értesíteni tudják az érintett céget. Egy titkosított email küldéséhez szükséges titkosítási kulcsot is megadtak, hogy a bejelentő tényleg védett módon tudjon szólni, ha bajt lát valahol.
A GovCERT felhívásából úgy tűnik, mintha a magyarországi cégek némelyikénél még nem kialakult nemzetközi gyakorlatot, az etikus hekkerekkel kialakított együttműködést próbálná központilag pótolni a Nemzeti Kibervédelmi Intézet alá tartozó állami szerv, hogy ne fordulhasson elő a közelmúltbelihez hasonló anomália, amely egy életre elveheti a jó szándékú bejelentők kedvét.
Megkérdeztük a a GovCERT-et, hogy a ma megjelenő felhívás valóban egy új akcióról szól-e, illetve hogy tényleg a BKK-botrány apropóján született-e. Arról is érdeklődtünk, hogy a GovCERT az így érkező bejelentéseket csak továbbítja-e az érintett cégeknek, vagy maga is végez valamilyen vizsgálatot, illetve hogy ha egy bejelentés potenciális adatkezelési mulasztásra utal, tesznek-e hivatalból bejelentést a NAIH-nál, vagy jelzik-e ezt a mulasztást az érintett cégnél. Ha megkapjuk a választ, beszámolunk róla.