OIS purkaa tietoturvatiedottamisen ristiriitoja
0
Ohjelma- ja tietoturvayrityksistä muodostuva OIS-järjestö (Organization for Internet Safety) on saanut valmiiksi ehdotuksensa sille, milloin ja miten varoituksia tietoturvaongelmista tulisi julkaista. Järjestö ottaa web-sivuillaan kuukauden ajan kommentteja vastaan.
Suositukset neuvovat ohjelmavalmistajia vastaamaan tietoturvayrityksen ilmoitukseen viikon kuluessa. Tämän jälkeen ohjelmavalmistajalla olisi kuukausi aikaa kehittää korjaus, ennen kuin haavoittuvuus tuotaisiin julki. Tietoturvayritys joutuisi pitämään turva-aukon yksityiskohdat julkisuudelta salassa kuukauden sen jälkeen, kun korjaus tulisi tarjolle. Ohjeet eivät ole pakottavia.
Säännöillä pyritään eroon sekaannuksista ja ongelmista, jotka johtuvat sovittujen käytäntöjen puutteesta. Ohjelmayritykset ovat reagoineet tietoturvaongelmiin hitaammin kuin turvatutkijat ovat halunneet, joten tutkijat ovat usein julkaisseet tietojaan ennen korjauksen valmistumista. Vaikka ohjelmayritykset ovat nopeuttaneet reagointiaan viime vuosina, osa tutkijoista on julkaissut tietoja antamatta tarpeeksi korjausaikaa.
Tietoturvayritys Eeye Digital Security ei pidä sääntöä hyvänä. Yrityksen mukaan yksityiskohdat pitäisi saada julkistaa nopeammin kuin 30 päivässä, koska se auttaisi järjestelmien pääkäyttäjiä paremmin tutkimaan, koskeeko haavoittuvuus heidän järjestelmiään. Pääkäyttäjät voisivat myös yksityiskohtien avulla paremmin testata, toimiiko korjaus oikein.
Ohjelmajätti Oracle pitää sääntöjä hyvinä. Yhtiön tietoturvajohtaja Mary Ann Davidson kertoi uutispalvelu Cnetille, että Oraclen tehtävä on suojella asiakkaita, eikä elättää tutkijoita.
OIS:ään kuuluvat lisäksi tietoturvayritykset @stake, Bindview, Foundstone, Guardent, Internet Security Systems, Network Associates ja Symantec, sekä ohjelmayritykset Microsoft, SCO Group ja SGI.
