Responsabilità di vulnerabilità di Web / App [chiusa]

Naviga le tue risposte
0

Durante il controllo di alcune app e siti Web web ho scoperto alcune vulnerabilità gravi che ho segnalato (in modo responsabile, ovviamente). Una delle cose che ho notato è che diverse società di sviluppo hanno lavorato su parti di questa applicazione e questo mi ha fatto riflettere. In caso di violazione della sicurezza o perdita di dati, chi è in definitiva responsabile di ciò? Sono residente nel Regno Unito, quindi mi riferirò alla legge del Regno Unito qui, ma sono sicuro che lo stesso potrebbe applicarsi nella tua regione.

Non sto parlando di casi in cui dev studios hanno contratti che li assolvono da qualsiasi vulnerabilità, ma più nei casi in cui non è in vigore alcun contratto tra lo sviluppatore (i) e l'azienda. Ad esempio, una particolare applicazione era vulnerabile all'iniezione SQL ed è stata elaborata da uno sviluppatore molto giovane. È un'app pubblica, quindi nel database sono stati memorizzati un sacco di dati sui clienti.

Se il database è stato violato e i dati dei clienti privati esposti, ciò costituirebbe una violazione del Data Protection Act 1998. Chi è in definitiva responsabile di tale violazione? Gli affari come sono quelli che forniscono il servizio? Lo sviluppatore come sono colui che ha introdotto il difetto che ha permesso l'accesso (consapevolmente o in altro modo)? La società dev di terze parti per fornire il lavoro? Mentre l'azienda dovrebbe essere in ultima analisi responsabile a mio avviso per la sicurezza dei dati dei clienti, si potrebbe obiettare che qualcuno ha infranto il Computer Misuse Act del 1990 introducendo una vulnerabilità consapevolmente o inconsapevolmente permettendo che l'applicazione venga compromessa. La mia domanda è che sono solo gli affari che si trovano nella linea di fuoco, o lo sarebbero anche gli sviluppatori?

Anche l'attribuzione deve essere considerata. Se uno sviluppatore senior raccoglie lo script di cui sopra, apporta modifiche e non esegue due diligence per verificare la presenza di vulnerabilità, ciò le rende ora responsabili piuttosto che lo sviluppatore originale, oppure entrambe sono ora nella linea di fuoco.

Giusto per chiarire - Non sto cercando consigli legali difficili qui, ma vale la pena porre la domanda sulla responsabilità.

    
posta ScottMcGready 15.01.2015 - 12:01
fonte

2 risposte

1

IANAL - Direi che l'azienda sarebbe responsabile per la violazione della protezione dei dati in quanto di solito sarebbero quelli che hanno il controllo dei dati prima del loro input / caricati sul sistema. Se potessero dimostrare che la violazione era dovuta a un errore di sicurezza nel software, probabilmente sarebbero in una buona posizione per citare in giudizio la società di sviluppo per eventuali perdite poiché sarebbe stata la loro negligenza professionale a causare la violazione.

Se il singolo sviluppatore che ha lavorato su di esso fosse junior / senior non ha molta importanza dal momento che è la società di sviluppo che sarebbe l'entità legalmente responsabile. Ovviamente la società di sviluppo potrebbe quindi scegliere di intraprendere un'azione disciplinare nei confronti del proprio dipendente se ne trova la responsabilità, ma non credo che avrebbe alcuna connessione con la responsabilità legale (questo potrebbe essere diverso per i dirigenti delle società e società senza responsabilità limitata.

    
risposta data 15.01.2015 - 12:31
fonte
0

Vista personale su questo (la legge potrebbe essere diversa):

Alla fine della giornata l'azienda sarà responsabile in caso di violazione o perdita di dati. La ragione principale alla base di questo è che l'azienda è quella che sta memorizzando i dati e altre informazioni importanti e non la società di sviluppo. Questo si applica se non esiste un contratto specifico in cui si afferma che tutti gli exploit di sicurezza devono essere riparati dalla società di sviluppo.

Alcune società di sviluppo diranno che risolveranno tutti i problemi di sicurezza che trovano nel codice quando viene consegnato il codice. Che dire degli exploit che diventano pubblici / noti dopo la consegna del codice? Se non ci sono contratti in essere con lo sviluppatore, spetta a te mantenere il codice e questo include anche la manutenzione della sicurezza. (Assicurati di essere aggiornato sulle ultime minacce)

In termini di attribuzione, questo è un argomento molto interessante perché la sicurezza non dovrebbe ricadere solo sulle spalle degli sviluppatori. Sono molto impegnati a risolvere tutti i tipi di difetti aggiungendo già requisiti, vuoi davvero che diventino anche i tuoi esperti di sicurezza e trovi difetti dal codice scritto da altri prima di loro? La mia risposta è questa: non affidare agli sviluppatori la sicurezza. Rendili consapevoli della sicurezza e chiedi a qualcun altro di controllare e risolvere continuamente i problemi di sicurezza nelle applicazioni.

Risposta finale: 1. Il business è responsabile in caso di perdita di dati o violazione della sicurezza. Incolparlo sugli sviluppatori rifletterebbe semplicemente il fatto che non esiste un programma di sicurezza adeguato.

    
risposta data 15.01.2015 - 16:40
fonte

Leggi altre domande sui tag

Qualsiasi sottomissione di moduli a carta o sottomissione elettronica Modello di crittografia a due fattori [chiuso]