Η ημερίδα[1] πήγε πολύ καλά. Έφερε για πολλές ώρες στον ίδιο χώρο τρεις Ανεξάρτητες Αρχές[2] (ΕΕΤΤ, ΑΔΑΕ, ΑΠΔ) Νομικούς, Μηχανικούς και λοιπούς Επιστήμονες ΤΠΕ που καλούνται να εφαρμόσουν μια σειρά από Κοινοτικές Οδηγίες, Νόμους και Κανονισμούς των τριών Αρχών.
Αν κάποιος πρέπει να σταθεί σε δύο σημεία που προέλυψαν από την ημερίδα, η γνώμη μου είναι πως αυτά είναι:
1. Η διαπίστωση των επικαλυπτόμενων περιοχών αρμοδιοτήτων ανάμεσα σε δύο ή και τρεις από τις Αρχές. Αυτό για τους επαγγελματίες του χώρου ήταν μια πραγματικότητα εδώ και καιρό, είναι όμως η πρώτη φορά που τουλάχιστον εγώ το είδα να περιγράφεται ανοιχτά και επίσημα ως διαπίστωση.
2. Το καίριο ερώτημα ακροατή (για όσους έμειναν μέχρι το τέλος) για το "ποιο πρέπει να είναι το profile του εμπειρογνώμονα για θέματα ηλεκτρονικής ασφάλειας;", το οποίο κατά τη γνώμη μου κανείς από τους δύο ερωτηθέντες δεν απάντησε επαρκώς, αν και μίλησαν αρκετή ώρα. Συνοψίζοντας ταχύτατα τις απαντήσεις (όπως τις αντιλλήφθηκα):
α. "Ο εμπειρογνώμονας δεν πρέπει να είναι εξαρτημένος από εργαλείο". Εγώ εδώ αντιλλαμβάνομαι νύξη του style: Αν έχω αγοράσει το EnCase δε σημαίνει πως είμαι και εμπειρογνώμονας και πολύ σωστά, αλλά δε λέει κάτι για το ποιος μπορεί να είναι εμπειρογνώμονας.
β. "Ο εμπειρογνώμονας δε μπορεί να είναι άτομο, αλλά Αρχή". Έχω φοβερές διαφωνίες με αυτή την άποψη. Δεν είναι δυνατό να εντάξει κανείς όλους τους digital forensics experts στη Χώρα κάτω από μια Αρχή. Αυτό που μπορεί να κάνει είναι να θέσει κανόνες για το ποιος μπορεί να βρίσκεται σε Μητρώα digital forensics experts (φυσικών προσώπων και εταιριών) ώστε ο Πολίτης όταν χρειάζεται τεχνικό σύμβουλο και δεν ξέρει που να απευθυνθεί να έχει ένα σημείο εκκίνησης. Το ΤΕΕ για παράδειγμα τηρεί (και μπορεί να επεκτείνει) τέτοια Μητρώα για τα μέλη του όπως έχει δημοσιευτεί στο ΕΔ 2201 του 2001. Το ίδιο και αρκετά περιφερειακά Τμήματα.
Footnotes:
[1] Γιατί όσοι θέλουν να κάνουν ένα συνέδριο / ημερίδα / κάτι που έχει τη δυναμική να είναι ετήσιο το καταχωρούν σε ιστοχώρο της μορφής http://www.ΌνομαΣυνεδρίουΈτος.TLD δε μπορώ να καταλάβω. Μετά από 10 χρόνια θα συντηρεί κανείς 10 domains; Με βάση το παράδειγμα της ημερίδας, δεν είναι πιο κομψό το http://2006.ictsecurity.gr/ ;
[2] Αν και με δήλωση της κας. Λίλιαν Μήτρου η ΕΕΤΤ θα έπρεπε να αναφέρεται σαν Ρυθμιστική Αρχή (κατά τα λεγόμενά της "…με κίνδυνο να παρεξηγηθώ…").
Managing organized complexity 
Γμτ πώς δεν το πήρα χαμπάρι αυτό…
Τέσπα FYI υπάρχει και EnCase certification (http://www.guidancesoftware.com/training/ence/index.asp).
Καλώς ή κακώς πάντως κάποια εργαλεία εδραιώνονται.
Τώρα αν θέλουν να φτιάξουν αρχή/μητρώο/όπως θες πέστο με security/digital forensics experts ας το κάνουν. Το σίγουρο είναι ότι θα βγει σα τα μούτρα τους. Ποιος θα ορίζει ποιοι θα είναι αυτοί που θα μπορούν να συμμετέχουν; Με τι κριτήρια; Ποιος θα τους κρίνει; Και ας μη ξεχνάμε πως αν το κράτος δημιουργήσει μία τέτοια αρχή θα πρέπει να δημιουργήσει και να υποστηρίξει και τις ανάλογες υποδομές. Να διδάσκει δηλαδή, πρωτίστως, τις αντίστοιχες τεχνολογίες και να μπορεί να παρέχει (δωρεάν;) όσα χρειάζονται για να εγγραφεί/πιστοποιηθεί κάποιος από αυτή την αρχή. Γιατί αν απλά φτιάξει την αρχή και μετά πει ότι πρέπει να είσαι CISSP, CISA και EnCE θα μας έχει δίχως άλλο υποχρεώσει…
Φίλε Κώστα το πρόβλημα είναι απλό. Ο εμπειρογνώμονας είναι αυτός που έχει αποδεδειγμένα εξαιρετική τεχνική εμπειρία σε ένα θέμα. Ο πραγματογνώμονας είναι ο εμπειρογνώμονας που διατάσσεται δικαστικά να συντάξει έκθεση για το τι έχει συμβεί. Πραγματογνώμονες τα δικαστήρια βρίσκουν από αντιστοιχους καταλόγους. Υπό αυτές τις συνθήκες αυτή τη στιγμή για digital forensics η Δικαιοσύνη στη χώρα έχει μόνο το αντίστοιχο τμήμα της ΕΛ.ΑΣ (και αυτό δεν το αναφέρω ως μειονέκτημα).
Το ερώτημα το έθεσε άνθρωπος που δεν είναι μέλος ΤΕΕ και μίλησε για "εμπειρογνώμονα". Με βάση την υπόθεση των υποκλοπών και την υπερέκθεση ορισμένων ατόμων, είναι σίγουρο και μπορούμε να το συζητήσουμε και ιδιωτικά πως τουλάχιστον ένας φερόμενος ως εμπειρογνώμονας δεν ήξερε τι έλεγε. Διέθετε όμως τη φήμη να θεωρείται ως τέτοιος.
Αν θέλεις τη γνώμη μου σε ότι αφορά το ζήτημα των αναγνωρισμένων digital forensics auditors, αυτό είναι σχεδόν λυμένο. Είτε διενεργείς εξετάσεις αντίστοιχες με αυτές για τους Ορκωτούς Λογιστές, είτε σαν αυτές για το CISA[*], CISSP (άσε που το CISA έχει πάρει ANSI accreditation και μπορεί με μια διακρατική συμφωνία να αναγνωρίζεται και στην Ελλάδα). Το ποιος για λογαριασμό του Κράτους θα μπορούσε να τηρεί ένα τέτοιο μητρώο, είναι επίσης λυμμένο πρόβλημα, μια και υπάρχουν αρκετοί τέτοιοι οργανισμοί. Το ΤΕΕ (απλό ή στο διευρυμένης συμμετοχής υπό ίδρυση Τμήμα Πληροφορικής) για παράδειγμα είναι τέτοιος οργανισμός. "Θα βγει σα τα μούτρα τους" τι; Δηλαδή οι Κύπροι που έχουν ενσωματώσει τους Πληροφορικούς στο ΕΤΕΚ είναι χαζοί; Αυτό που σε ενοχλεί είναι πως κάποιοι απόφοιτοι ΤΕΙ δεν έχουν δικαίωμα υπογραφής; (όπερ μεταφραζόμενο δικαίωμα να πάνε φυλακή για τα λάθη (== malpractice) τους). Αυτό όμως είναι ένα ξεχωριστό πρόβλημα με πολλές λύσεις που δεν είναι του παρόντος blog προς διερεύνηση.
"Καλώς ή κακώς πάντως κάποια εργαλεία εδραιώνονται". Και λοιπόν τι; Όποιος τρέχει Core Impact μπορεί να κάνει security audits και να εμπιστεύεσαι τη γνώμη του; Κι αν αύριο κλείσει η Core Security ή η Guidance αυτός που έχει μάθει το εργαλείο και μόνο (γιατί αυτό σου βεβαιώνει ένα τέτοιο certification) τι θα κάνει, θα λέει "συγνώμη δε μπορώ γιατί μου χάλασε το εργαλείο;". Αυτό που λες Κώστα είναι ισοδύναμο με το "επειδή η αγορά ζητάει Java programmers θα φτιάχνουμε Java programmers". Και όταν περάσει η μόδα τι θα τους κάνεις; Retrain; Καλή η φάμπρικα, αλλά εγώ προτιμάω να μαθαίνει ο κόσμος πως να μαθαίνει να χρησιμοποιεί εργαλεία (και να μπορεί να κατασκευάζει και δικά του) παρά να μαθαίνει μόνο τα εργαλεία που είναι της μόδας.
[*] Σημ.: Έχω περάσει το CISA exam απλά έχω βαρεθεί να συμπληρώσω την αίτηση και έτσι τυπικά δεν είμαι CISA ακόμα.
Σίγουρα στην πρόσφατη περίπτωση των υποκλοπών βγήκαν αρκετοί στα μέσα, ορισμένοι εκ των οποίων όντως δεν ήξεραν τι έλεγαν. Όπως ξέρουμε όμως τα κανάλια είναι γεμάτα από δαύτους οπότε αυτό δε θα πρέπει να μας παραξενεύει ιδιαίτερα.
Το θέμα των εξετάσεων αντίστοιχων των ορκωτών λογιστών το έχεις ξανα-αναφέρεις και με βρίσκει απόλυτα σύμφωνο. Αυτό που με ανησυχεί είναι πως στην Ελλάδα ίσως δεν έχουμε ούτε την παράδοση στο security ούτε και τα άτομα εκείνα που χρειάζονται για να στήσουν και να στηρίξουν κάτι τέτοιο. Έχοντας παρακολουθήσει διάφορες αντίστοιχες ημερίδες η αίσθηση που προσωπικά έχω αποκομίσει είναι πως υπάρχει ένα obscurity στην Ελλάδα σε σχέση με αυτό που λέμε Information Security. Ακόμα ορισμένοι δεν ξέρουν τι είναι, που χρειάζεται, τι πρέπει να κάνουν ακόμα ακόμα και γιατί χρειάζεται. Μάλιστα αυτή η ασάφεια μεγαλώνει όσο ψηλότερα στην ιεραρχία πάει κανείς. Άντε λοιπόν να πείσεις κρατικούς φορείς να κάνουν κάποια πράγματα και να τα κάνουν και σωστά. Σαφέστατα είμαι υπέρ της δημιουργίας τέτοιων επιμελητηρίων/πιστοποιήσεων, που κατά τη γνώμη μου *πρέπει* να είναι πλήρως ανεξάρτητα από υπάρχοντες φορείς (ΤΕΕ, ΕΠΥ, κλπ.), αλλά έχω αμφιβολίες για το ποιοι μπορούν να τα στήσουν όπως πρέπει.
Όσον αφορά το τελευταίο σκέλος, το EnCase π.χ. δεν είναι και κανένα φοβερά δύσκολο εργαλείο να το χρησιμοποιήσεις. Και αυτός που ξέρει να το χρησιμοποιήσει (ή έχει το certification αν θες) σίγουρα θα ξέρει 5 πράγματα για forensic discovery. Απ’ την άλλη αν πας εσύ στο δικαστήριο με άλλο εργαλείο, πίστεψέ με πολύ εύκολα μπορεί να στο απορρίψει ο δικαστής γιατί πολύ απλά το 99% της νομολογίας (στο εξωτερικό φυσικά γιατί στην Ελλάδα δεν ξέρουμε ακόμα τι είναι σκληρός δίσκος) είναι βασισμένη στο EnCase. Και αν ο αντίδικος βρει μία λεπτομέρεια στο “άλλο” εργαλείο και καταφέρει να βάλει ψύλλους στ’ αυτιά του δικαστή…έχασες.