При сокрытии данных об уязвимостях властям США следует думать об экономических последствиях, а не о разведке – экс-советник Буша и Обамы

40

Власти США при принятии решений, следует ли раскрывать обнаруженные уязвимости в программном обеспечении, должны отдать приоритет последствиям для американской экономики, а не действовать в угоду разведслужбам, считает бывший советник по кибербезопасности президентов Джорджа Буша и Барака Обамы, ныне работающая старшим советником по проекту «Кибербезопасность» в школе управления им. Кеннеди Гарвардского университета (Harvard University’s Kennedy School of Government) Мелисса Хэтэуэй (Melissa Hathaway).

Как пишет FCW, в настоящее время администрация президента США при обнаружении уязвимостей оценивает, стоит ли раскрывать данные о них, или же «дыры» могут послужить для целей нацбезопасности и разведки, т.е. принимается решение: перевешивают ли разведывательные цели IT-безопасность граждан и правительства. Во всяком случае, так было при Обаме.

Решение зачастую выносится «в пользу разведки и сбора разведывательных данных для целей национальной безопасности», сказала Мелисса Хэтэуэй (вероятно, она говорит о ситуации 2008-2009 гг., когда она работала в правительственной администрации – ред.).

По её словам, обнародование данных об уязвимостях на самом деле происходило очень редко, и власти никогда при этом не думали об экономических последствиях.

Теперь же, считает Хэтэуэй, поскольку всё больше кибератак нацелены на инфраструктуру и промышленность, эти приоритеты должны быть «перевёрнуты», и власти должны больше работать с разработчиками, чтобы закрыть известные уязвимости.

Она привела пример вируса WannaCry, который нанес значительный ущерб во многих странах. «Мы должны начать думать о том, что будет, если вирус затронет электросети, телекоммуникации, финансовые системы, как мы будем действовать, чтобы обеспечить экономическую выживаемость», — добавила эксперт.

Мелисса Хэтэуэй
Мелисса Хэтэуэй — эксперт по кибербезопасности, наиболее известная своей работой в качестве директора Объединенной межведомственной группы по кибербезопасности в Управлении директора национальной разведки во время президентства Джорджа Буша (2008-2009 гг.), а также в течение шести месяцев — в Совете национальной безопасности при администрации Барака Обамы. В августе 2009 года перешла работать в частный сектор, уволившись с государственной службы по личным мотивам.

В настоящее время является старшим советником по проекту «Кибербезопасность» в Гарвардской школе управления им. Кеннеди, является основателем консалтинговой компании Hathaway Global Strategies, выступает в качестве консультанта для компаний, включая Cisco. 

Справка

В конце 2015 года компания Juniper Networks заявила об обнаружении несанкционированного кода в операционной системе ScreenOS, что могло позволить осведомленному злоумышленнику получить административный доступ к устройствам NetScreen и расшифровке VPN-соединений. Программно-аппаратные комплексы NetScreen — это корпоративные файерволы и VPN-продукты, используемые в том числе во многих дата-центрах. ScreenOS — специализированная операционная система, используемая для управления этими комплексами.

Согласно документу, представленному для изучения общественности бывшим сотрудником АНБ Эдвардом Сноуденом, АНБ могло быть ответственно за создание дыр в защите ПО компании. И хотя прямой связи между АНБ и взломами Juniper не установлено, понятно, что спецслужбы использовали те же уязвимости, что и хакеры, чтобы обойти защиту программно-аппаратных комплексов NetScreen.

Эксперты по кибербезопасности и криптографы допускали возможность, что одна из обнаруженных недавно уязвимостей ПО Juniper искусственно создана АНБ, а затем обнаружена и использована неизвестными злоумышленниками.

В Juniper тогда заявили, что намеренное внедрение уязвимостей в продукты «противоречит политике и этическим принципам компании».

Еще ранее, в 2014-м году, Bloomberg со ссылкой на осведомленные источники писал, что АНБ знало об уязвимости в OpenSSL (названной Heartbleed), популярной системе шифрования данных в Интернете, и эксплуатировало данную уязвимость в своих интересах.

По словам источника Bloomberg, АНБ посвящает значительную часть своих ресурсов поиску подобных уязвимостей, прежде всего в популярных открытых протоколах, над которыми работает незначительное количество человек. Как писал Bloomberg, то, что АНБ долгое время пользовалось Heartbleed, никому о ней не сообщая, оставило данные миллионов пользователей уязвимыми перед киберпреступниками и разведслужбами других государств.

АНБ, в свою очередь, выступило с опровержением информации Bloomberg.