Ни одно доброе дело не остается безнаказанным

Как говорится, ни одно добро не остается безнаказанным. В этом на своем опыте убедился специалист по информационной безопасности Роб Дайк (Rob Dyke) из Великобритании. В начале марта он обнаружил репозиторий на GitHub с паролями, ключами API и конфиденциальными финансовыми данными, принадлежащими Apperta Foundation, некоммерческой организации из сферы здравоохранения. Поскольку в прошлом Дайку доводилось сотрудничать с этой компанией, он сообщил Apperta о своей находке в GitHub. Представители компании связались с ним по электронной почте, поблагодарили за проявленную сознательность и пообещали решить проблему. Однако позднее адвокаты фирмы и полиция стали требовать у ИБ-эксперта объяснений. Дайк уже не рад, что сделал доброе дело и предупредил Apperta об утечке. В телефонном интервью порталу BleepingComputer Дайк рассказал , что найденные в GitHub данные Apperta находились там, по крайней мере, с 2019 года. Имея опыт сотрудничества в сфере кибербезопасности с Apperta и другими подобными организациями, мужчина был знаком с процедурой, в соответствии с которой ИБ-специалисты доводят до сведения компаний информацию о выявленных уязвимостях. Дайк сразу же сообщил обо всем Apperta. Чтобы зафиксировать, какие именно данные он передал организации, ИБ-эксперт заархивировал их и поместил в защищенное хранилище на 90 дней, как то и предписывает установленная процедура информирования об утечках. Тем не менее, спустя неделю, Дайк получил письмо от адвокатов Apperta, в котором юристы уведомили его, что считают предпринятые им действия незаконными. От ИБ-эксперта потребовали письменное обязательство в том, что он удалит все обнаруженные им данные. Такой поворот стал для Дайка полной неожиданностью, особенно учитывая, что он уже не впервые контактировал с командой Apperta по роду своей работы в области кибербезопасности. В переписке по электронной почте, которую Дайк показал журналистам, ИБ-эксперт еще раз пояснил юристам Apperta, что обнаруженные им сведения - это не конфиденциальные данные, полученные им в результате незаконного взлома или несанкционированного доступа, а публично доступная информация, которая находилась в GitHub более двух лет. Также в своем письме специалист обязался удалить все имеющиеся у него копии репозитория, общедоступного в GitHub, и подтвердить уничтожение соответствующим сертификатом. Несмотря на все это, 24 марта Дайк получил по электронной почте письмо от территориальной полиции Нортумбрии, в котором у него попросили дать разъяснения по поводу инцидента, названного правоохранителями ″сообщением о факте неправомерного использования компьютерных технологий″ (Computer Misuse Act, закон Великобритании). Поскольку офис Apperta находится в юрисдикции полиции Нортумбрии, ИБ-эксперт не сомневается, что расследование начато именно в связи с его сообщением об утечке. ″Это никуда не годится, ведь я обнаружил утечку и помог им. Я гарантировал им, что удалю у себя эти данные, и уже сделал это″, - заявил Дайк в беседе с BleepingComputer. Журналисты неоднократно пытались связаться с Apperta Foundation и полицией Нортумбрии, но так и не получили ответа на свои запросы о комментариях. Характерно, что произошедшее с Робом Дайком - далеко не первый случай, когда специалисты по кибербезопасности из Британии сталкиваются с проблемами из-за устаревшего закона Computer Misuse Act, который был принят еще в 1990 году. Его положения настолько широко трактуемы, что выявление утечки данных может расцениваться, как преступление. Опрос, проведенный в ноябре 2020 года среди британских ИБ-профессионалов показал , что 80% из них опасаются случайно нарушить Computer Misuse Act и нажить из-за этого неприятности. Представители ИБ-сообщества неоднократно заявляли о необходимости реформировать закон и призывали власти внести в него поправки. Ссылка на источник