Правительство США опубликовало документ, описывающий принципы и процедуры раскрытия найденных федералами уязвимостей в программном обеспечении и IT-системах их производителям и другим заинтересованным сторонам — как выяснилось, каждый десятый инцидент такого рода утаивается в интересах спецслужб.
Напомним, ранее СМИ обвиняли разведывательные агентства, в частности, АНБ, в активном поиске уязвимостей (прежде всего в популярных открытых протоколах), которыми они затем пользовались в интересах спецслужб, не сообщая общественности об опасности. Это оставляло данные миллионов пользователей уязвимыми, в том числе доступными для преступников. В июне 2017 бывший советник по кибербезопасности президентов Джорджа Буша и Барака Обамы Мелисса Хэтэуэй (Melissa Hathaway) заявила, что власти США при принятии решений, следует ли раскрывать обнаруженные уязвимости в программном обеспечении, должны отдать приоритет последствиям для американской экономики, а не действовать в угоду разведслужбам.
В опубликованном в среду 15 ноября документе перечисляются агентства, участвующие в принятии решений о раскрытии информации об уязвимостях, и факторы, которые необходимо учитывать в процессе обсуждения. Также документ предписывает выпуск ежегодного отчета о количестве обнаруженных проблем и числе раскрытых и утаённых от общественности уязвимостей.
Вопросы, которые участникам совещания следует обдумать, разделены на четыре группы: безопасность; ценность для спецслужб; коммерция; международные отношения.
Агентства должны оценить, в каких сферах и как широко используется продукт, для которого найден эксплойт (код, эксплуатирующий уязвимость – ред.), и насколько он распространён. Какой доступ получит злоумышленник и какой ущерб он сможет причинить. Насколько пользователи доверяют продукту. Можно ли устранить уязвимость реконфигурацией продукта, без выпуска патча. Если (после раскрытия информации) будет выпущен патч, с какой вероятностью его установят на повреждённых системах – и как скоро; какой процент устройств останется незащищенным навсегда или более года.
Следует понять, может ли найденная уязвимость использоваться для спецопераций, какова её ценность в этом смысле сейчас и в будущем. Имеются ли у эксплойта специфические способности с точки зрения борьбы с киберпреступниками, защиты критической инфраструктуры, охраны военных объектов и т.д. Если эту уязвимость раскрыть, не откроются ли также какие-либо методы или источники для спецслужб других государств.
Как раскрытие информации об уязвимости повлияет на отношения правительства с индустрией и как скажется на международных связях.
Документ также содержит засекреченное приложение (Annex C), где описываются уязвимости, которые не выносятся на обсуждение из-за «чувствительных операций» или «партнерских соглашений» правительства. Данные о таких эксплойтах обнаружившее их агентство должно направлять главе комиссии.
Как сказал координатор по кибербезопасности администрации Дональда Трампа Роб Джойс (Rob Joyce), правительство раскрывает порядка 90% известных ему уязвимостей, а решения о сокрытии данных не являются «пожизненными» — раз в полгода комиссия пересматривает ситуацию по закрытой информации. «Если мы понимаем, что эксплойт вышел из-под контроля и стал использоваться повсеместно, высока вероятность, что мы расскажем о нем», — заявил Джойс.
Помощник директора Центра демократии и проблем информационных технологий Мишель Ричардсон (Michelle Richardson) признала, что документ является первым случаем раскрытия правительством механизма принятия решений относительно уязвимостей. Однако, добавила она, это лишь маленький кусок головоломки. Общественности всё равно неясно, как, когда и против кого правительство решает разрабатывать и использовать – и как власти обеспечивают безопасность собственных граждан, не подозревающих об угрозе.
