BLOG

Čo vieme a čo nevieme garantovať našim klientom

2012-07-29 18:42 Pavol Lupták

Vzhľadom k tomu, že sa neustále stretávam s rôznymi nereálnymi očakávaniami našich klientov, rád by som v nasledujúcom článku rozvinul túto problematiku a ozrejmil ekonomiku akýchkoľvek záruk a striktných podmienok.

V našej firme sa snažíme sľúbiť našim klientom to, čo im vieme garantovať a nevstupovať do pre nás nevýhodných a nesplniteľných zmluvných vzťahov. Riadime sa jednoduchým heslom:

“Akýkoľvek biznis vzťah má zmysel jedine, keď je výhodny pre obe zainteresované strany.”

Klient očakáva, že mu reálne pomôžeme (obvykle odhalením množstva zraniteľnosti vo forme penetračného testu alebo bezpečnostného auditu). Súčasne vyžaduje, aby sme rešpektovali v maximálnej miere jeho súkromie a znemožnili únik akýchkoľvek citlivých informácií s ktorými prídeme do styku a to napríklad uzavretím striktnej zmluvy o mlčanlivosti (NDA). Niektorí klienti od nás tiež vyžadujú poistenie za škody, ktoré spôsobíme pri samotnom bezpečnostnom zhodnotení.

Pre nás je samozrejme dôležite získať klienta, dlhodobo s ním spolupracovať a v neposlednom rade vygenerovať nejaký ten zisk. Akékoľvek podmienky vyžadovane našim klientom pre nás musia byť ekonomicky rentabilné a splniteľné, inak samotný vzťah vnímame za veľmi rizikový a nevýhodný pre našu stranu a samotný kontrakt neuzavrieme.

1 Zmluvná pokuta za porušenie NDA, doba trvania zmluvy

Ak si klient od nás objedná štandardný penetračný test za 990 € a súčasne vyžaduje od nás podpísať striktnú NDA (zmluvu o mlčanlivosti) na dobu neurčitú so zmluvnou pokutou 100 000 € za každé jedno porušenie zmluvy, tak si dobre rozmyslíme, či do uvedeného obchodného vzťahu (vzhľadom na jeho rizikovosť pri nízkej ekonomickej rentabilite) vstúpime. Dôvod je jednoduchý – “nekonečná doba” je totiž príliš dlhá doba – keď o 50 rokov nejakým spôsobom dojde k úniku citlivých informácii, ktoré sú kryté touto zmluvou (toto sa bohužiaľ nikdy nedá zanedbať, lebo riziko je vždy nenulové a práve preto sa zmluvne ošetruje), tak platiť penalizáciu klientovi 100 000 € za únik informácie (ktorá po 50-tich rokov zrejme nemá žiadnu hodnotu) si jednoducho nemôžeme dovoliť (vzhľadom na ekonomický objem samotného projektu). Naši klienti zvyknú argumenovať, že po 50-tich rokoch sa množstvo informácii stane verejne známych a to bez porušenia NDA zmluvy (napríklad publikovaním od tretích strán), takže by to pre nás nemalo byť žiadne riziko. Samozrejme na to sa môžeme alebo nemusíme spoliehať. Veľké množstvo už neužitočných a nezaujímavých informácii môže byť aj po 50-tich rokoch stále kryté touto nešťastnou NDA zmluvou, ktorej porušenie pre nás predstavuje vážne a nezanedbateľné riziko. Treba si uvedomiť, že pohľad na výšku zmluvnej pokuty zo strany klienta je odlišný ako náš pohľad ako dodávateľa služby:

a) klient nastavuje výšku zmluvnej pokuty obvykle vždy tak, aby mu reflektovala všetky potenciálne straty, ktoré bude mať v prípade, že nejaké jeho citlivé informácie uniknú.

b) dodávateľ služby (penetračného testu, či bezpečnostného auditu) vníma zmluvnú pokutu ako riziko, ktoré musí byť ekonomicky rentabilné (dodávateľ sa snaží túto pravdepodobnosť minimalizovať a to rôznymi spôsobmi – striktnou bezpečnosťou v rámci svojej firmy, dôveryhodnými a lojálnymi zamestnancami, či nižšou dobou platnosti danej NDA zmluvy. Súčasne sa tiež snaží minimalizovať veľkosť uvedenej zmluvnej pokuty, tak aby bola pre neho akceptovateľná a ekonomicky rentabilná – pri vysokoziskových projektoch si môže dovoliť akceptovať vyššiu pokutu ako pri projektoch, ktorú sú málo ziskové a preto sú vysoko nastavené zmluvné pokuty v týchto prípadoch príliš rizikové). Je potrebné dodať, že voči úniku informácii je nemožné sa poistiť, takže toto riziko nie je možné jednoducho delegovať na tretiu stranu.

Ak klient chce, aby mu dodávateľ poskytol službu a súčasne dodávateľ si chce udržať svojho klienta, je potrebné nájsť obojstranne akceptovateľný kompromis, tak aby bol výhodný pre obe strany (ku kompromisu samozrejme nemusí dôjsť, ak si klient môže vybrať z množstva dodávateľov, ktorí mu akceptujú jeho nevýhodné podmienky alebo ak dodávateľ má dosť práce a o klienta s týmito podmienkami jednoducho nestojí, lebo iní jeho klienti mu akceptujú férovejšie podmienky).

Znamená to, že príliš striktnými podmienkami (napríklad vysokými zmluvnými pokutami) klient riskuje, že príde o dodávateľa, pre ktorého to bude príliš rizikové a teda neakceptovateľné. A naopak neakceptovaním férových podmienok zo strany klienta zase dodávateľ prichádza o potenciálny biznis.

A aká je momentálna situácia u nás vo firme?

Pre väčšinu projektov akceptujeme výšku zmluvnej pokuty do 2-3 násobku objemu samotného projektu – pri projektoch vo veľmi veľkých objemoch je možná samozrejme individuálna dohoda.

NDA na dobu neurčitú je pre nás ako firmu, ktorej cieľom je vytrvať na trhu aj o 20 rokov ťažko akceptovateľná, nakoľko predstavuje nezanedbateľné riziko na dobu nekonečnú. Sme presvedčení o tom, že takmer akákoľvek informácia s časom klesá na hodnote (teraz citlivá informácia o 50 rokoch nemá obvykle žiadnu hodnotu), takže NDA uzavretá na dobu neurčitú tento jav nijako nereflektuje a zbytočne ohrozuje dodávateľa.
Ďalší problém “doby neurčitej” je, že od dodávateľa vyžaduje, aby prijatú informáciu od zákazníka chránil “nekonečne dlho”, čo je z ekonomického hľadiska nezmysel – ochrana informácii predstavuje totiž vždy nejaké náklady, ak dodávateľ investuje čo i len jedno euro na ochranu danej informácie po dobu jedného mesiaca, tak nekonečne dlho chrániť túto informáciu pre neho znamená nekonečne veľké investície, čo mu samozrejme žiadny projekt nezarobí (ide samozrejme o “ad absurdum” situáciu, ktorá demonštruje, prečo je doba trvania NDA na nekonečnú dobu nezmysel).
Napriek tomu sa často stretávame so situáciami, kedy dodávatelia penetračných testov a bezpečnostných auditov bez problémov akceptujú NDA zmluvy na dobu neurčitú – bohužiaľ veľakrát je to spôsobené tým, že o schvaľovaní týchto zmlúv rozhodujú zamestnanci (napríklad obchodní riaditelia), nie konatelia spoločnosti, ktorým je celkom jedno, či o 30 rokov dôjde k porušeniu uvedenej zmluvy alebo nie, kedže o 2 roky budú pracovať už v úplne inej firme ako tej, v ktorej túto nevýhodnú zmluvu podpísali. Ďalší dôvod je, že dodávatelia akceptujú uvedený biznis za akýchkoľvek nevýhodných podmienok za cenu relatívne rýchleho zisku bez zohľadnenia faktu, že uvedenú zmluvu je nevyhnutné nekonečne dlho dodržiavať (však ak im daná firma skrachuje kvôli nemožnosti vyplatiť zmluvnú pokutu, tak si založia druhú).

2 Poistenie zodpovednosti za škody
Niektorí naši klienti nevyžadujú poistenie zodpovednosti za potenciálne škody, ktoré spôsobíme. Iní to naopak vyžadujú. Preto sa poisťujeme pre daný projekt/zákazníka a akékoľvek náklady za poistenie prenášame na všetkých klientov, ktorí toto poistenie zodpovednosti vyžadujú. Príde nám to férove vzhľadom ku klientom, ktorí toto poistenie zodpovednosti nevyžadujú. Čím klient vyžaduje vyššiu sumu poistenia, väčšie zmluvné krytie (napríklad nielen na Slovensku, ale aj v celej EU alebo na svete), tak tým je to poistenie drahšie a tým to viac navýši jeho cenu samotného projektu, za ktorý si platí. Táto priama ekonomická reflexia – “kto chce vyššie záruky, nech si viac zaplatí” nám príde férová a spravodlivá a nedoplácajú na ňu žiadni iní klienti, ktorí vyžadujú menšie záruky.

3 Poistenie zodpovednosti za nepriame škody
Niesť zodpovednosť za akékoľvek nepriame škody, ktoré vzniknú našim klientom pri bezpečnostnom zhodnotení je prakticky nemožné – žiadna poisťovňa nás nepoistí, takže to nevieme delegovať na tretiu stranu a súčasne v prípade legitimných testov v dohodnutom rozsahu nie sme schopní toto riziko ani nijako vedome ovplyvniť:

Ak realizujeme bezpečnostný portscan a klientovi kvôli 10 rokov neudržiavanému operačnému systému vypadne jeho centrálny server následkom čoho bude mať škodu 10 000 €, tak uvedenú zodpovednosť bohužiaľ nedokážeme nijako niesť, obzvlášť ak išlo o legitímny test v dohodnutom rozsahu a klient nás nijako dopredu neupozornil na to, že si neželá uvedený server testovať.

4 Garancia odhalenia všetkých zraniteľností v danom systéme alebo aplikácii
Ide o častú požiadavku našich klientov veľakrát vyžadujúcich našu penalizáciu v prípade, že ich aplikácia bude v budúcnosti obsahovať nejake ďalšie zraniteľnosti, ktoré sme neodhalili a ktoré by mohli byť alebo budú zneužité potenciálnym útočníkom. V tomto prípade je potrebné si uvedomiť, že:

a) akýkoľvek penetračný test alebo bezpečnostný audit odhaľuje zraniteľnosti len k dátumu vykonania samotného bezpečnostného zhodnotenia. Systémy neustále zastarávajú, podobne sa odhaľujú nové typy zraniteľností, takže technicky nie je možne garantovať, že daný systém nebude v budúcnosti zraniteľný.

b) odhaliť všetky zraniteľnosti v systéme alebo aplikácii je prakticky nemožné technicky dosiahnuť (obzvlášť, keď daný systém/aplikácia je čo i len trochu komplexnejší). Ak toto klientovi nejaký dodávateľ dokáže garantovať (s tým, že keď sa nejaké zraniteľnosti odhalia, tak platí klientovi zmluvnú pokutu), tak jedine tak, že toto riziko (a vyplatenie zmluvnej pokuty) priamo zahrnie do ceny samotného projektu alebo ceny ponúkaného človeko-dňa. Podobným spôsobom sa dá garantovať aj to, že “zajtra nebude pršať” a túto peknú garanciu predať klientovi s tým, že zmluvná pokuta za to, že “pršať nakoniec bude”, bude “rozpustená” v cene samotného projektu.

A dostávame sa k ekonomike vyžadovaných záruk….

Je potrebné si uvedomiť, že akékoľvek požiadavky na príliš vysoké garancie alebo zmluvné pokuty zo strany klienta dodávateľ buď prenáša na tretiu stranu (poisťovňu) alebo s uvedeným rizikom počíta a zohľadňuje pri výpočte odhadu ceny projektu.

V oboch prípadoch vysoké garancie a zmluvné pokuty môžu v lepšom prípade výrazne navýšiť finálnu cenu projektu pre klienta, v horšom prípade zvýšiť riziko pre dodávateľa tak, že daný projekt jednoducho od klienta neakceptuje, lebo sa mu to z dlhodobého ekonomického hľadiska nevyplatí.

Otázka klienta potom ale znie: “V poriadku a ako nám teda garantujete, že Vašu ponúkanú službu vykonáte skutočne dobre a kvalitne a akú máme istotu, že nezverejníte alebo inak nezneužijete akékoľvek naše získané citlivé informácie?

V oblasti penetračného testovania, či bezpečnostných auditov momentálne neexistuje žiadna štátna, či súkromná verejne akceptovaná certifikácia kvality vykonaného bezpečnostného zhodnotenia (do istej miery toto rieši PCI-DSS, ale je to úzko špecifické a stále to nepredstavuje rozumné garancie).

Naša garancia je postavená čisto na našej reputácii – všetky testy dlhodobo vykonávame najlepšie ako vieme, podľa testovacích metodológií OSSTMM, či OWASP Testing Guide, v súlade s poslednými trendami v oblasti bezpečnosti, najlepšími bezpečnostnými nástrojmi na trhu a vysokokvalifikovanými a certifikovanými zamestnancami, ktorým skutočne veríme. Všetci naši zamestnanci majú podpísanú tiež veľmi striktnú NDA so svojim zamestnávateľom, používajú kompletné šifrovanie diskov na svojich firemných počítačoch (tzv. “full disk encryption”), ktoré je v našej spoločnosti povinné. Podobná úroveň bezpečnosti sa týka všetkých našich serverov, kde akúkoľvek internú komunikáciu šifrujeme PGP a na hlasovú komunikáciu používame šifrované internú VoIP ústredňu (SIP/TLS + SRTP).

Odkaz na starší článok Etika penetračného testovania.