Le pedí a una agencia gubernamental, en virtud de la legislación de Libertad de Información, que libere dos consultas SQL que realizaron para producir una tabla que publicaron en un informe.
Es decir, la agencia publicó estas dos tablas de cifras que muestran, para cada año, el número de casos completados en varias categorías y algunas estadísticas agregadas para cada categoría. Quiero ver la consulta utilizada para generar cada tabla, para ver cómo se filtraron los datos y exactamente cómo la agencia definió cada categoría.
La agencia ha rechazado mi solicitud sobre la base de que liberar cualquier consulta SQL perjudicará su seguridad de la información.
Bajo la legislación pertinente, ahora tengo la oportunidad de solicitar una revisión de esta decisión, en la cual tendría que explicar por qué el razonamiento de la agencia es erróneo.
En mi opinión, la única forma en que esto podría ser un riesgo de seguridad es cuando un atacante usa la información sobre los nombres de tablas y columnas para lanzar un ataque de inyección de SQL. Sin embargo, la base de datos en cuestión es un almacén de datos interno sin aplicaciones web de acceso público y, en cualquier caso, la agencia cuenta con estrictos estándares de codificación y pruebas de penetración, etc., para prevenir vulnerabilidades de inyección de SQL.
También puedo imaginar que si la agencia fuera, por ejemplo, la Agencia de Seguridad Nacional de los EE. UU., y la base de datos se llamara 'overseas_phone_taps_by_country', los nombres de la tabla / columna serían información confidencial. En este caso, sin embargo, estamos hablando de una base de datos contable mantenida por una agencia reguladora bastante aburrida.
Nuevamente, si la consulta se utilizaba para generar listas de casos, podría ver el problema, ya que la consulta contendría cosas como el umbral en el que se considerará un caso para una acción de cumplimiento, etc. Sin embargo, eso no es El caso aquí.
¿Cómo podría suponer un riesgo para la seguridad la publicación del texto de una consulta SQL?
EDITAR: La agencia proporcionó la siguiente explicación en su carta de rechazo:
Las consultas SQL contienen información sobre los sistemas de información de la agencia (información relacionada con el contenido, la ubicación y el almacenamiento de información confidencial). información), que, de ser divulgada, podría esperarse razonablemente que aumentar el riesgo de compromiso con los sistemas de información de la agencia.
Como tal, considero que la divulgación de las consultas SQL representa un Riesgo de seguridad potencial para la agencia.
El consejo del experto en seguridad de la agencia dice:
Soy de la opinión de que el lanzamiento de las consultas SQL, incluso en un Formulario redactado, proporcionaría información sobre los programas Las interfaces y la lógica fluyen dentro de nuestros sistemas, y dan información. sobre identificadores, indicadores y referencias que comprometerían la Seguridad y protección de los sistemas de la agencia.