Szerintem az is egy erdekes kerdes lehet, hogy miert kene, hogy barki vakon megbizzon egy szolgaltatasban? Persze erre nem feltetlenul az a megoldas, hogy mindenki kenyere-kedvere haxorkodhasson, hogy eldonthesse, hogy a szolgaltatas, amit kinezett maganak hasznalatra megfelelo biztonsagi szinttel rendelkezik-e az adatainak vedelmere.
Nyugatabbra bevett szokas, hogy a cegek feltuntetik a security policy-t, ami ismerteti, hogy a ceg mit tesz meg a szolgaltatas bizontsagaert a belso folyamataik soran. Ez hasznos, mert pl. ha egy alkalmazast szeretnel hasznalni es a policy-ben csak azt latod, hogy van egy tuzfal es egy IPS az alkalmazas elott es ennyi a biztonsag, akkor jo esellyel alternativa utan nezel. (Ugyanis a tuzfal+IPS kombo ugyan nem haszontalan, de nem is ad megfelelo szintu biztonsagot)
A security policy arrol is emlitest tesz (egyebkent el is vart torvenyileg), hogy biztonsagi szempontbol rendszeresen teszteltesse a szolgaltatast kulso, szakerto ceg segitsegevel. Az mar majdhogynem alap, hogy a magukra valamit ado cegeknek folyamatosan futo bug-bounty programja van, ahol meghurcoltatas nelkul lehet jelenteni a feltart serulekenysegeket es ezert meg penzt is kap a bejelento. Masreszt, evi egyszer legalabb egy teljes pentest is meg kell, hogy legyen.
Masreszt, cegek egymas kozott meg komolyabb elvarasokkal rendelkeznek. Mielott egy ceg igenybe vesz egy szolgaltatast, egy halom biztonsagi folyamatokat es kontrollokat illeto kerdest meg kell valaszolni a szolgaltatonak. A valaszok fenyeben dontik el a cegek, hogy melyik szolgaltatoval hajlandoak szerzodest kotni. (Itt a BKK - T-System kozotti folyamatok, vagy nem letezo folyamatok probalematikajara celozgatok)
Ami tortent a BKK/TEK-Systems vs. kissrac eseten: figyelembe veve, hogy nem haszonszerzesbol, hanem kivancsisagbol kovette el, amit elkovetette es a feltart biztonsagi hianyossagot azonnal jelezte a szolgaltatonak teljesen etikus. Hogy legalis-e, vagy sem, az mas kerdes, nem vagyok jogasz. Viszont, meg akkor is, ha nem legalis, figyelembe veve, hogy teljesen jo szandekbol kovette azt el es nem okozott kart a szolgaltatonak, igy semmi keppen sem etikus a buntetes barmi formaja.
Morin
OSCE / SLAE / CEH / ECSA / ABC / NBC / FBI / KGB / NSA / STB