Vlákno názorů k článku
Objeveny závažné zranitelnosti ve zdravotnických přístrojích GE od Smazaný profil - "Existují tedy firmy, jejichž jméno se v systému...

Je lepší dělat mrtvého brouka?

Lepší je si pravidelně dělat vlastní pentesty (o čemž v tomto případě silně pochybuji), než čekat až nějaký WhiteHat náhodou narazí na váš systém (zařízení) a zranitelnosti se vám rozhodne nahlásit...

Alias ta zařízení jsou tak děravá, že kdyby nešetřili na nesprávných místech, opravili by to v tichosti předtím, než ta zařízení vůbec začali prodávat.

Tady se není čím chlubit, pokud se dostáváte do fáze, kdy zranitelnosti s nevyšším hodnocením objeví někdo "hodný" z davu.

24. 1. 2020, 12:22 editováno autorem komentáře

Ano, to je pravda a firmy to snad i dělávají. Skutečným problémem jsou neexistující normy na bezpečnost. Každá firma, která ku příkladu vyrábí zdravotnický přístroj ví, že ho musí důkladně otestovat, aby neublížil pacientovi. Kdyby selhal, byl by z toho obrovský průšvih, pokuty, odškodnění.

Když odfláknete digitální bezpečnost, rizika jsou poměrně malá. U soudu se nepodaří prokázat zanedbání. Bez základního normativního rámce ji nemáte podle čeho určit. Další "překážkou" pro poškozeného je rozmělnění odpovědnosti - o co se měl starat provozovatel (zdravotnické zařízení a jeho IT) a o co se měl starat dodavatel?

V časovém tlaku pak každá firma "instinktivně" rozděluje priority a řeší od těch, které ohrožují obchod. Nikdo si netroufne promeškat výběrové řízení "jen" kvůli tomu, že si vývojáři na zdánlivě funkčním zařízení "hrají" s bezpečností, kterou zákazník ve výběrku nevyhodnocuje (často ani nemá jak).

Podle mě v dalších desetiletích budou muset vzniknout úřady a organizace, které budou základní rámce stanovovat, kontrolovat a postihovat - stejně jako kdysi museli vzniknout stavební úřady, úřady pro kontrolu léčiv, komory atd. Pak teprve bude možné vyžadovat stanovenou úroveň a garanta - konkrétní osobu, tak jako je projektant, lékař nebo notář. A až následně se to projeví i na výsledcích.