Шесть лет назад в начале октября Раймонд Скурулс открыл свой профиль на сайте Дирекции безопасности дорожного движения (ДБДД), чтобы перерегистрировать автомобиль на имя сына. После этого он отошел от компьютера, но интернет-браузер не закрыл. Когда через некоторое время Раймонд вернулся к компьютеру, он обнаружил, что его профиль по-прежнему открыт и работает.
"От меня не потребовали повторного входа в систему, чтобы выполнить какие-либо действия в профиле, например, сменить права собственности", - рассказывает Раймонд.
В то время он даже представить не мог, что обнаруженная им уязвимость в информационной системе ДБДД приведет к обвинениям в вымогательстве и многолетним судебным разбирательствам. Представитель Ассоциации профессионалов безопасности и ИТ-специалист с 20-летним стажем Улдис Либиетис описывает обнаруженную Скурулсом брешь в информационной системе ДБДД как уязвимость высокого риска.
"Любой человек мог исправить данные и о своем транспортном средстве, и о транспортных средствах других людей или сменить владельца транспортного средства, то есть исказить данные в государственной информационной системе и увидеть данные о других жителях Латвии", - описывает он серьезность ситуации. По его мнению, коммуникация дирекции в этой ситуации была неадекватной. "В учреждении должно быть больше коллективного разума, чем у одного отдельного тестировщика", - говорит Либиетис.
Еще более странно то, что у Скурулса требуют покрыть расходы, понесенные ДБДД из-за безуспешных попыток самостоятельно найти обнаруженную им уязвимость.
"Пришел человек и сказал - у вас проблема, данные всех латвийских пользователей транспортных средств в опасности, весь ваш регистр затронут, его можно скопировать и исказить. Вы четыре дня пытаетесь найти проблему сами, но не можете, и заставляете платить за это того, кто нашел брешь в системе безопасности. Где логика?" - говорит Либиетис.
Санита Витола из учреждения реагирования на киберинциденты "Cert.lv" подчеркивает, что из этой ситуации всем нужно извлечь уроки. Подобные случаи можно разрешить при участии "Cert.lv". "Нужно сразу садиться за стол втроем - тому, кто вскрыл уязвимость, владельцу ресурса и "Cert.lv", которое поможет найти правильное решение", - говорит она.
В 2018 году, когда Раймонд Скурулс информировал ДБДД о проблеме, статус сообщившего об уязвимости в Латвии еще не был регламентирован, хотя на практике такие сообщения поступали. Как отмечает Витола, проблемой стало то, что Скурулс просил плату за обнаружение уязвимости, при этом до того, как раскрыть учреждению, в чем именно она заключалась.
По словам представителя "Cert.lv", если учреждение само не проявило инициативу заплатить за обнаружение проблемы, человек не имеет права требовать за это плату.