Google belønner fejlfindere – KMD politianmelder

Min gode kollega Thomas Mandrup undrer sig i et indlæg på LinkedIn over KMD’s krisehåndtering af egne software-fejl. Strategien er tilsyneladende den modsatte af Googles. Læs Thomas’ indlæg herunder.
———————————————————————————————————

Hvis du er en dygtig it-specialist og finder en fejl i Googles Android- eller Chrome-systemer, er der en pæn chance for, at du bliver belønnet med en kontant bonus. Sidste år udbetalte Google ikke mindre end 3 millioner dollars i alt til engagerede it-folk, som faldt over sikkerhedsbrister i Google-produceret software.

Googles Vulnerability Reward Program – i folkemunde også kendt som the bug bounty program – inspirerer entusiastiske fejlfindere til at bruge deres tid og evner på at lave ekstra tests af den software, som kommer på markedet. Google erkender blankt, at det meste software, der kommer ud, ikke er fejlfrit. Og når de vælger at belønne programmører, som finder fejl, er det fordi, at disse superbrugere hjælper til med at gøre Googles applikationer sikrere at bruge for alle. Derfor har man valgt at gøre ”hackerne” til en fast del af software-testberedskabet.

“We created our Vulnerability Rewards Program in 2010 because researchers should be rewarded for protecting our users. Their discoveries help keep our users, and the internet at large, as safe as possible. “

Eduardo Vela Nava, VRP Technical Lead, Google

Hvis du er blandt de allermest aktive nørder, der hacker løs på Googles systemer for at finde fejl, kan du endda erobre en plads på Googles Hall of fame. Listen føres p.t. af Tomasz Bojarski fra Polen, som bl.a. blev tildelt en dusør for at påvise en fejl på Googles eventside events.google.com

Hvorfor skyde meddeleren?

I dag kunne branchemediet ITWatch fortælle, hvordan en dansk familiefar er blevet politianmeldt for hacking, fordi han har påvist centrale sikkerhedsbrister i KMD’s løsning til danske kommuners pladsanvisning. Manden, som til daglig arbejder i en it-virksomhed, er på barsel, og han søgte efter en institutionsplads til sin søn. I den forbindelse faldt han over fejlen i det KMD-producerede system, som gjorde det muligt at lave udtræk af tilfældige personers navne og CPR-numre.

Han dokumenterede, hvordan man ved hjælp af et enkelt script kan trække oplysningerne ud. Og i stedet for at bruge sin viden til skade for nogen, informerede han kommunen om bristen. Kommunen tog sagen videre til KMD, som altså kvitterede med en politianmeldelse for hacking.

Man må undre sig over, hvad rationalet bag KMD’s håndtering er. Måske kan de juridisk set få ret i, at familiefaren har brudt loven. Men det virker som en meget kortsigtet krisehåndteringsstrategi at tørre ansvaret af på den person, som har gjort dem en kæmpe tjeneste ved at påvise en fejl. Dermed har de undgået, at andre – potentielt med langt værre hensigter – kan udnytte sikkerhedsbristen.

Forkert håndtering kan blive værre end fejlen

Alle virksomheder kan begå fejl. Det sker hele tiden. Og når fejl opdages, er det nødvendigt at vise handlekraft. Men handlekraft bør ikke bestå i at skyde den meddeler ned, som er så venlig at gøre opmærksom på problemet. Sig i stedet tak! Send jeres meddeler en dusør eller 12 flasker rødvin. Anerkend jeres fejl og ret den. Beklag over for jeres kunder. Og kommunikér om, hvad I vil gøre for at undgå gentagelser fremadrettet.

Når organisationers møgsager bliver til imagekriser, er det sjældent på grund af de oprindelige fejl. Langt oftere udvikler krisen sig på grund af virksomhedens manglende evne til at håndtere den.

I dette tilfælde kan KMD’s aggressive fremfærd og forsøget på at forskyde ansvaret give langt flere ridser i lakken end nogen brist i et pladsanvisningssystem.

One Comment

  1. Mediet ITwatch har nu bragt en artikel om sagen med Thomas som solo-kilde: http://itwatch.dk/secure/ITNyt/Brancher/Sikkerhed/article9657866.ece

    Svar

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *