Vzh\u013eadom k tomu, \u017ee sa neust\u00e1le stret\u00e1vam s r\u00f4znymi nere\u00e1lnymi o\u010dak\u00e1vaniami na\u0161ich klientov, r\u00e1d by som v nasleduj\u00facom \u010dl\u00e1nku rozvinul t\u00fato problematiku a ozrejmil ekonomiku ak\u00fdchko\u013evek z\u00e1ruk a striktn\u00fdch podmienok.<\/p>\n
V na\u0161ej firme sa sna\u017e\u00edme s\u013e\u00fabi\u0165 na\u0161im klientom to, \u010do im vieme garantova\u0165 a nevstupova\u0165 do pre n\u00e1s nev\u00fdhodn\u00fdch a nesplnite\u013en\u00fdch zmluvn\u00fdch vz\u0165ahov. Riadime sa jednoduch\u00fdm heslom:<\/p>\n „Ak\u00fdko\u013evek biznis vz\u0165ah m\u00e1 zmysel jedine, ke\u010f je v\u00fdhodny pre obe zainteresovan\u00e9 strany.“<\/em><\/p>\n Klient o\u010dak\u00e1va, \u017ee mu re\u00e1lne pom\u00f4\u017eeme (obvykle odhalen\u00edm mno\u017estva zranite\u013enosti vo forme penetra\u010dn\u00e9ho testu alebo bezpe\u010dnostn\u00e9ho auditu). S\u00fa\u010dasne vy\u017eaduje, aby sme re\u0161pektovali v maxim\u00e1lnej miere jeho s\u00fakromie a znemo\u017enili \u00fanik ak\u00fdchko\u013evek citliv\u00fdch inform\u00e1ci\u00ed s ktor\u00fdmi pr\u00eddeme do styku a to napr\u00edklad uzavret\u00edm striktnej zmluvy o ml\u010danlivosti (NDA). Niektor\u00ed klienti od n\u00e1s tie\u017e vy\u017eaduj\u00fa poistenie za \u0161kody, ktor\u00e9 sp\u00f4sob\u00edme pri samotnom bezpe\u010dnostnom zhodnoten\u00ed.<\/span><\/p>\n Pre n\u00e1s je samozrejme d\u00f4le\u017eite z\u00edska\u0165 klienta, dlhodobo s n\u00edm spolupracova\u0165 a v neposlednom rade vygenerova\u0165 nejak\u00fd ten zisk. Ak\u00e9ko\u013evek podmienky vy\u017eadovane na\u0161im klientom pre n\u00e1s musia by\u0165 ekonomicky rentabiln\u00e9 a splnite\u013en\u00e9, inak samotn\u00fd vz\u0165ah vn\u00edmame za ve\u013emi rizikov\u00fd a nev\u00fdhodn\u00fd pre na\u0161u stranu a samotn\u00fd kontrakt neuzavrieme.<\/p>\n 1 Zmluvn\u00e1 pokuta za poru\u0161enie NDA, doba trvania zmluvy<\/strong><\/p>\n Ak si klient od n\u00e1s objedn\u00e1 \u0161tandardn\u00fd penetra\u010dn\u00fd test<\/a> za 990 \u20ac a s\u00fa\u010dasne vy\u017eaduje od n\u00e1s podp\u00edsa\u0165 striktn\u00fa NDA (zmluvu o ml\u010danlivosti) na dobu neur\u010dit\u00fa so zmluvnou pokutou 100 000 \u20ac za ka\u017ed\u00e9 jedno poru\u0161enie zmluvy, tak si dobre rozmysl\u00edme, \u010di do uveden\u00e9ho obchodn\u00e9ho vz\u0165ahu (vzh\u013eadom na jeho rizikovos\u0165 pri n\u00edzkej ekonomickej rentabilite) vst\u00fapime. D\u00f4vod je jednoduch\u00fd – „nekone\u010dn\u00e1 doba“ je toti\u017e pr\u00edli\u0161 dlh\u00e1 doba – ke\u010f o 50 rokov nejak\u00fdm sp\u00f4sobom dojde k \u00faniku citliv\u00fdch inform\u00e1cii, ktor\u00e9 s\u00fa kryt\u00e9 touto zmluvou (toto sa bohu\u017eia\u013e nikdy ned\u00e1 zanedba\u0165, lebo riziko je v\u017edy nenulov\u00e9 a pr\u00e1ve preto sa zmluvne o\u0161etruje), tak plati\u0165 penaliz\u00e1ciu klientovi 100 000 \u20ac za \u00fanik inform\u00e1cie (ktor\u00e1 po 50-tich rokov zrejme nem\u00e1 \u017eiadnu hodnotu) si jednoducho nem\u00f4\u017eeme dovoli\u0165 (vzh\u013eadom na ekonomick\u00fd objem samotn\u00e9ho projektu). Na\u0161i klienti zvykn\u00fa argumenova\u0165, \u017ee po 50-tich rokoch sa mno\u017estvo inform\u00e1cii stane verejne zn\u00e1mych a to bez poru\u0161enia NDA zmluvy (napr\u00edklad publikovan\u00edm od tret\u00edch str\u00e1n), tak\u017ee by to pre n\u00e1s nemalo by\u0165 \u017eiadne riziko. Samozrejme na to sa m\u00f4\u017eeme alebo nemus\u00edme spolieha\u0165. Ve\u013ek\u00e9 mno\u017estvo u\u017e neu\u017eito\u010dn\u00fdch a nezauj\u00edmav\u00fdch inform\u00e1cii m\u00f4\u017ee by\u0165 aj po 50-tich rokoch st\u00e1le kryt\u00e9 touto ne\u0161\u0165astnou NDA zmluvou, ktorej poru\u0161enie pre n\u00e1s predstavuje v\u00e1\u017ene a nezanedbate\u013en\u00e9 riziko. Treba si uvedomi\u0165, \u017ee poh\u013ead na v\u00fd\u0161ku zmluvnej pokuty zo strany klienta je odli\u0161n\u00fd ako n\u00e1\u0161 poh\u013ead ako dod\u00e1vate\u013ea slu\u017eby:<\/p>\n a) klient nastavuje v\u00fd\u0161ku zmluvnej pokuty obvykle v\u017edy tak, aby mu reflektovala v\u0161etky potenci\u00e1lne straty, ktor\u00e9 bude ma\u0165 v pr\u00edpade, \u017ee nejak\u00e9 jeho citliv\u00e9 inform\u00e1cie unikn\u00fa.<\/p>\n b) dod\u00e1vate\u013e slu\u017eby (penetra\u010dn\u00e9ho testu, \u010di bezpe\u010dnostn\u00e9ho auditu) vn\u00edma zmluvn\u00fa pokutu ako riziko, ktor\u00e9 mus\u00ed by\u0165 ekonomicky rentabiln\u00e9 (dod\u00e1vate\u013e sa sna\u017e\u00ed t\u00fato pravdepodobnos\u0165 minimalizova\u0165 a to r\u00f4znymi sp\u00f4sobmi – striktnou bezpe\u010dnos\u0165ou v r\u00e1mci svojej firmy, d\u00f4veryhodn\u00fdmi a loj\u00e1lnymi zamestnancami, \u010di ni\u017e\u0161ou dobou platnosti danej NDA zmluvy. S\u00fa\u010dasne sa tie\u017e sna\u017e\u00ed minimalizova\u0165 ve\u013ekos\u0165 uvedenej zmluvnej pokuty, tak aby bola pre neho akceptovate\u013en\u00e1 a ekonomicky rentabiln\u00e1 – pri vysokoziskov\u00fdch projektoch si m\u00f4\u017ee dovoli\u0165 akceptova\u0165 vy\u0161\u0161iu pokutu ako pri projektoch, ktor\u00fa s\u00fa m\u00e1lo ziskov\u00e9 a preto s\u00fa vysoko nastaven\u00e9 zmluvn\u00e9 pokuty v t\u00fdchto pr\u00edpadoch pr\u00edli\u0161 rizikov\u00e9). Je potrebn\u00e9 doda\u0165, \u017ee vo\u010di \u00faniku inform\u00e1cii je nemo\u017en\u00e9 sa poisti\u0165, tak\u017ee toto riziko nie je mo\u017en\u00e9 jednoducho delegova\u0165 na tretiu stranu.<\/p>\n Ak klient chce, aby mu dod\u00e1vate\u013e poskytol slu\u017ebu a s\u00fa\u010dasne dod\u00e1vate\u013e si chce udr\u017ea\u0165 svojho klienta, je potrebn\u00e9 n\u00e1js\u0165 obojstranne akceptovate\u013en\u00fd kompromis, tak aby bol v\u00fdhodn\u00fd pre obe strany (ku kompromisu samozrejme nemus\u00ed d\u00f4js\u0165, ak si klient m\u00f4\u017ee vybra\u0165 z mno\u017estva dod\u00e1vate\u013eov, ktor\u00ed mu akceptuj\u00fa jeho nev\u00fdhodn\u00e9 podmienky alebo ak dod\u00e1vate\u013e m\u00e1 dos\u0165 pr\u00e1ce a o klienta s t\u00fdmito podmienkami jednoducho nestoj\u00ed, lebo in\u00ed jeho klienti mu akceptuj\u00fa f\u00e9rovej\u0161ie podmienky).<\/p>\n Znamen\u00e1 to, \u017ee pr\u00edli\u0161 striktn\u00fdmi podmienkami (napr\u00edklad vysok\u00fdmi zmluvn\u00fdmi pokutami) klient riskuje, \u017ee pr\u00edde o dod\u00e1vate\u013ea, pre ktor\u00e9ho to bude pr\u00edli\u0161 rizikov\u00e9 a teda neakceptovate\u013en\u00e9. A naopak neakceptovan\u00edm f\u00e9rov\u00fdch podmienok zo strany klienta zase dod\u00e1vate\u013e prich\u00e1dza o potenci\u00e1lny biznis.<\/p>\n A ak\u00e1 je moment\u00e1lna situ\u00e1cia u n\u00e1s vo firme? <\/strong><\/p>\n Pre v\u00e4\u010d\u0161inu projektov akceptujeme v\u00fd\u0161ku zmluvnej pokuty do 2-3 n\u00e1sobku objemu samotn\u00e9ho projektu – pri projektoch vo ve\u013emi ve\u013ek\u00fdch objemoch je mo\u017en\u00e1 samozrejme individu\u00e1lna dohoda.<\/p>\n NDA na dobu neur\u010dit\u00fa je pre n\u00e1s ako firmu, ktorej cie\u013eom je vytrva\u0165 na trhu aj o 20 rokov \u0165a\u017eko akceptovate\u013en\u00e1, nako\u013eko predstavuje nezanedbate\u013en\u00e9 riziko na dobu nekone\u010dn\u00fa. Sme presved\u010den\u00ed o tom, \u017ee takmer ak\u00e1ko\u013evek inform\u00e1cia s \u010dasom kles\u00e1 na hodnote (teraz citliv\u00e1 inform\u00e1cia o 50 rokoch nem\u00e1 obvykle \u017eiadnu hodnotu), tak\u017ee NDA uzavret\u00e1 na dobu neur\u010dit\u00fa tento jav nijako nereflektuje a zbyto\u010dne ohrozuje dod\u00e1vate\u013ea. 2 Poistenie zodpovednosti za \u0161kody<\/strong> 3 Poistenie zodpovednosti za nepriame \u0161kody<\/strong> Ak realizujeme bezpe\u010dnostn\u00fd portscan a klientovi kv\u00f4li 10 rokov neudr\u017eiavan\u00e9mu opera\u010dn\u00e9mu syst\u00e9mu vypadne jeho centr\u00e1lny server n\u00e1sledkom \u010doho bude ma\u0165 \u0161kodu 10 000 \u20ac, tak uveden\u00fa zodpovednos\u0165 bohu\u017eia\u013e nedok\u00e1\u017eeme nijako nies\u0165, obzvl\u00e1\u0161\u0165 ak i\u0161lo o legit\u00edmny test v dohodnutom rozsahu a klient n\u00e1s nijako dopredu neupozornil na to, \u017ee si ne\u017eel\u00e1 uveden\u00fd server testova\u0165.<\/p>\n 4 Garancia odhalenia v\u0161etk\u00fdch zranite\u013enost\u00ed v danom syst\u00e9me alebo aplik\u00e1cii<\/strong> a) ak\u00fdko\u013evek penetra\u010dn\u00fd test alebo bezpe\u010dnostn\u00fd audit odha\u013euje zranite\u013enosti len k d\u00e1tumu vykonania samotn\u00e9ho bezpe\u010dnostn\u00e9ho zhodnotenia. Syst\u00e9my neust\u00e1le zastar\u00e1vaj\u00fa, podobne sa odha\u013euj\u00fa nov\u00e9 typy zranite\u013enost\u00ed, tak\u017ee technicky nie je mo\u017ene garantova\u0165, \u017ee dan\u00fd syst\u00e9m nebude v bud\u00facnosti zranite\u013en\u00fd.<\/p>\n b) odhali\u0165 v\u0161etky zranite\u013enosti v syst\u00e9me alebo aplik\u00e1cii je prakticky nemo\u017en\u00e9 technicky dosiahnu\u0165 (obzvl\u00e1\u0161\u0165, ke\u010f dan\u00fd syst\u00e9m\/aplik\u00e1cia je \u010do i len trochu komplexnej\u0161\u00ed). Ak toto klientovi nejak\u00fd dod\u00e1vate\u013e dok\u00e1\u017ee garantova\u0165 (s t\u00fdm, \u017ee ke\u010f sa nejak\u00e9 zranite\u013enosti odhalia, tak plat\u00ed klientovi zmluvn\u00fa pokutu), tak jedine tak, \u017ee toto riziko (a vyplatenie zmluvnej pokuty) priamo zahrnie do ceny samotn\u00e9ho projektu alebo ceny pon\u00fakan\u00e9ho \u010dloveko-d\u0148a. Podobn\u00fdm sp\u00f4sobom sa d\u00e1 garantova\u0165 aj to, \u017ee „zajtra nebude pr\u0161a\u0165“<\/strong> a t\u00fato pekn\u00fa garanciu preda\u0165 klientovi s t\u00fdm, \u017ee zmluvn\u00e1 pokuta za to, \u017ee „pr\u0161a\u0165 nakoniec bude“<\/strong>, bude „rozpusten\u00e1“ v cene samotn\u00e9ho projektu.<\/p>\n A dost\u00e1vame sa k ekonomike vy\u017eadovan\u00fdch z\u00e1ruk….<\/strong><\/em><\/p>\n Je potrebn\u00e9 si uvedomi\u0165, \u017ee ak\u00e9ko\u013evek po\u017eiadavky na pr\u00edli\u0161 vysok\u00e9 garancie alebo zmluvn\u00e9 pokuty zo strany klienta dod\u00e1vate\u013e bu\u010f pren\u00e1\u0161a na tretiu stranu (pois\u0165ov\u0148u) alebo s uveden\u00fdm rizikom po\u010d\u00edta a zoh\u013ead\u0148uje pri v\u00fdpo\u010dte odhadu ceny projektu.<\/p>\n V oboch pr\u00edpadoch vysok\u00e9 garancie a zmluvn\u00e9 pokuty m\u00f4\u017eu v lep\u0161om pr\u00edpade v\u00fdrazne nav\u00fd\u0161i\u0165 fin\u00e1lnu cenu projektu pre klienta, v hor\u0161om pr\u00edpade zv\u00fd\u0161i\u0165 riziko pre dod\u00e1vate\u013ea tak, \u017ee dan\u00fd projekt jednoducho od klienta neakceptuje, lebo sa mu to z dlhodob\u00e9ho ekonomick\u00e9ho h\u013eadiska nevyplat\u00ed.<\/p>\n Ot\u00e1zka klienta potom ale znie: „V poriadku a ako n\u00e1m teda garantujete, \u017ee Va\u0161u pon\u00fakan\u00fa slu\u017ebu vykon\u00e1te skuto\u010dne dobre a kvalitne<\/em> a ak\u00fa m\u00e1me istotu, \u017ee nezverejn\u00edte alebo inak nezneu\u017eijete ak\u00e9ko\u013evek na\u0161e z\u00edskan\u00e9 citliv\u00e9 inform\u00e1cie?<\/em>“<\/p>\n V oblasti penetra\u010dn\u00e9ho testovania, \u010di bezpe\u010dnostn\u00fdch auditov moment\u00e1lne neexistuje \u017eiadna \u0161t\u00e1tna, \u010di s\u00fakromn\u00e1 verejne akceptovan\u00e1 certifik\u00e1cia kvality vykonan\u00e9ho bezpe\u010dnostn\u00e9ho zhodnotenia (do istej miery toto rie\u0161i PCI-DSS, ale je to \u00fazko \u0161pecifick\u00e9 a st\u00e1le to nepredstavuje rozumn\u00e9 garancie).<\/p>\n Na\u0161a garancia je postaven\u00e1 \u010disto na na\u0161ej reput\u00e1cii – v\u0161etky testy dlhodobo vykon\u00e1vame najlep\u0161ie ako vieme, pod\u013ea testovac\u00edch metodol\u00f3gi\u00ed OSSTMM<\/a>, \u010di OWASP Testing Guide<\/a>, v s\u00falade s posledn\u00fdmi trendami v oblasti bezpe\u010dnosti, najlep\u0161\u00edmi bezpe\u010dnostn\u00fdmi n\u00e1strojmi na trhu a vysokokvalifikovan\u00fdmi a certifikovan\u00fdmi zamestnancami, ktor\u00fdm skuto\u010dne ver\u00edme. V\u0161etci na\u0161i zamestnanci maj\u00fa podp\u00edsan\u00fa tie\u017e ve\u013emi striktn\u00fa NDA so svojim zamestn\u00e1vate\u013eom, pou\u017e\u00edvaj\u00fa kompletn\u00e9 \u0161ifrovanie diskov na svojich firemn\u00fdch po\u010d\u00edta\u010doch (tzv. „full disk encryption“), ktor\u00e9 je v na\u0161ej spolo\u010dnosti povinn\u00e9. Podobn\u00e1 \u00farove\u0148 bezpe\u010dnosti sa t\u00fdka v\u0161etk\u00fdch na\u0161ich serverov, kde ak\u00fako\u013evek intern\u00fa komunik\u00e1ciu \u0161ifrujeme PGP a na hlasov\u00fa komunik\u00e1ciu pou\u017e\u00edvame \u0161ifrovan\u00e9 intern\u00fa VoIP \u00fastred\u0148u (SIP\/TLS + SRTP).<\/p>\n
\n\u010eal\u0161\u00ed probl\u00e9m „doby neur\u010ditej“ je, \u017ee od dod\u00e1vate\u013ea vy\u017eaduje, aby prijat\u00fa inform\u00e1ciu od z\u00e1kazn\u00edka chr\u00e1nil „nekone\u010dne dlho“, \u010do je z ekonomick\u00e9ho h\u013eadiska nezmysel – ochrana inform\u00e1cii predstavuje toti\u017e v\u017edy nejak\u00e9 n\u00e1klady, ak dod\u00e1vate\u013e investuje \u010do i len jedno euro na ochranu danej inform\u00e1cie po dobu jedn\u00e9ho mesiaca, tak nekone\u010dne dlho chr\u00e1ni\u0165 t\u00fato inform\u00e1ciu pre neho znamen\u00e1 nekone\u010dne ve\u013ek\u00e9 invest\u00edcie, \u010do mu samozrejme \u017eiadny projekt nezarob\u00ed (ide samozrejme o „ad absurdum“ situ\u00e1ciu, ktor\u00e1 demon\u0161truje, pre\u010do je doba trvania NDA na nekone\u010dn\u00fa dobu nezmysel).
\nNapriek tomu sa \u010dasto stret\u00e1vame so situ\u00e1ciami, kedy dod\u00e1vatelia penetra\u010dn\u00fdch testov a bezpe\u010dnostn\u00fdch auditov bez probl\u00e9mov akceptuj\u00fa NDA zmluvy na dobu neur\u010dit\u00fa – bohu\u017eia\u013e ve\u013eakr\u00e1t je to sp\u00f4soben\u00e9 t\u00fdm, \u017ee o schva\u013eovan\u00ed t\u00fdchto zml\u00fav rozhoduj\u00fa zamestnanci (napr\u00edklad obchodn\u00ed riaditelia), nie konatelia spolo\u010dnosti, ktor\u00fdm je celkom jedno, \u010di o 30 rokov d\u00f4jde k poru\u0161eniu uvedenej zmluvy alebo nie, ked\u017ee o 2 roky bud\u00fa pracova\u0165 u\u017e v \u00faplne inej firme ako tej, v ktorej t\u00fato nev\u00fdhodn\u00fa zmluvu podp\u00edsali. \u010eal\u0161\u00ed d\u00f4vod je, \u017ee dod\u00e1vatelia akceptuj\u00fa uveden\u00fd biznis za ak\u00fdchko\u013evek nev\u00fdhodn\u00fdch podmienok za cenu relat\u00edvne r\u00fdchleho zisku bez zoh\u013eadnenia faktu, \u017ee uveden\u00fa zmluvu je nevyhnutn\u00e9 nekone\u010dne dlho dodr\u017eiava\u0165 (v\u0161ak ak im dan\u00e1 firma skrachuje kv\u00f4li nemo\u017enosti vyplati\u0165 zmluvn\u00fa pokutu, tak si zalo\u017eia druh\u00fa).<\/p>\n
\nNiektor\u00ed na\u0161i klienti nevy\u017eaduj\u00fa poistenie zodpovednosti za potenci\u00e1lne \u0161kody, ktor\u00e9 sp\u00f4sob\u00edme. In\u00ed to naopak vy\u017eaduj\u00fa. Preto sa pois\u0165ujeme pre dan\u00fd projekt\/z\u00e1kazn\u00edka a ak\u00e9ko\u013evek n\u00e1klady za poistenie pren\u00e1\u0161ame na v\u0161etk\u00fdch klientov, ktor\u00ed toto poistenie zodpovednosti vy\u017eaduj\u00fa. Pr\u00edde n\u00e1m to f\u00e9rove vzh\u013eadom ku klientom, ktor\u00ed toto poistenie zodpovednosti nevy\u017eaduj\u00fa. \u010c\u00edm klient vy\u017eaduje vy\u0161\u0161iu sumu poistenia, v\u00e4\u010d\u0161ie zmluvn\u00e9 krytie (napr\u00edklad nielen na Slovensku, ale aj v celej EU alebo na svete), tak t\u00fdm je to poistenie drah\u0161ie a t\u00fdm to viac nav\u00fd\u0161i jeho cenu samotn\u00e9ho projektu, za ktor\u00fd si plat\u00ed. T\u00e1to priama ekonomick\u00e1 reflexia – „kto chce vy\u0161\u0161ie z\u00e1ruky, nech si viac zaplat\u00ed<\/em>“ n\u00e1m pr\u00edde f\u00e9rov\u00e1 a spravodliv\u00e1 a nedopl\u00e1caj\u00fa na \u0148u \u017eiadni in\u00ed klienti, ktor\u00ed vy\u017eaduj\u00fa men\u0161ie z\u00e1ruky.<\/p>\n
\nNies\u0165 zodpovednos\u0165 za ak\u00e9ko\u013evek nepriame \u0161kody<\/em>, ktor\u00e9 vznikn\u00fa na\u0161im klientom pri bezpe\u010dnostnom zhodnoten\u00ed je prakticky nemo\u017en\u00e9 – \u017eiadna pois\u0165ov\u0148a n\u00e1s nepoist\u00ed, tak\u017ee to nevieme delegova\u0165 na tretiu stranu a s\u00fa\u010dasne v pr\u00edpade legitimn\u00fdch testov v dohodnutom rozsahu nie sme schopn\u00ed toto riziko ani nijako vedome ovplyvni\u0165:<\/p>\n
\nIde o \u010dast\u00fa po\u017eiadavku na\u0161ich klientov ve\u013eakr\u00e1t vy\u017eaduj\u00facich na\u0161u penaliz\u00e1ciu v pr\u00edpade, \u017ee ich aplik\u00e1cia bude v bud\u00facnosti obsahova\u0165 nejake \u010fal\u0161ie zranite\u013enosti, ktor\u00e9 sme neodhalili a ktor\u00e9 by mohli by\u0165 alebo bud\u00fa zneu\u017eit\u00e9 potenci\u00e1lnym \u00fato\u010dn\u00edkom. V tomto pr\u00edpade je potrebn\u00e9 si uvedomi\u0165, \u017ee:<\/p>\n