5.6. Ответственность
5.6.1. Не пересекая черту
Одно дело — защитить свою собственную сеть, но совершенно другое, предположить, что нужно защищать другие сети. В процессе разрешения проблемы инцидента становятся очевидными определенные слабости системы. Достаточно легко и даже соблазнительно найти виновника инцидента, но это не всегда оптимальный путь.
Наилучшее правило, когда это касается права собственности, никогда не использовать ни одно из средств удаленного узла, если оно не является общедоступным. Это ясно исключает любой вход в систему (такой как rsh или сессия авторизации), который не разрешен явно. Может показаться очень привлекательно, после того как уязвимость безопасности определена, испытать эту слабость на соседе и проверить, уязвим ли удаленный узел. Не делайте этого! Вместо этого, попытайтесь установить контакт с пострадавшим узлом.
5.6.2. Хорошее гражданство в Интернет
При инциденте имеется два варианта поведения. В первом, узел может выбрать слежение за атакером с надеждой поймать его; или, узел может заняться очисткой системы и предотвращением дальнейшего проникновения в нее атакера. Это решение должно приниматься весьма обдуманно, так как может возникнуть юридическая ответственность, если вы решите оставить ваш узел открытым, а хакер воспользуется вашим узлом в качестве стартовой площадки для атаки других узлов. Быть хорошим гражданином Интернет означает, что вы должны стараться предупреждать прочие узлы, что они могут подвергнуться атаке.
5.6.3. Административная реакция на инцидент
Когда инцидент с безопасностью затрагивает пользователей, политика безопасности должна описывать, какие действия следует предпринять. Злоупотребления должны рассматриваться как серьезные проступки, но очень важно быть уверенным в роли, которую в инциденте играл пользователь. Был ли пользователь наивным? Возможна ли ошибка в обвинении пользователя? Принятие административных мер, исходя из предположения преднамеренных действий, к пользователю, который совершил лишь ошибку, нельзя признать адекватным. Может быть более адекватным включение в вашу политику других более приемлемых санкций (например, обучение или замечание) в дополнение к более строгим мерам для преднамеренных действий по вторжению и недопустимому использованию системы.