Власти США выпускают регламент сокрытия уязвимостей для кибервойн

Белый дом озаботился выпуском нового регламента, касающегося Процесса документирования уязвимостей (Vulnerabilities Equities Process, VEP). По словам разведки США, этот шаг призван обеспечить гораздо большую степень прозрачности относительно брешей в безопасности, так как власти в последнее время сталкивались с обвинениями в использовании уязвимостей в своих целях.

Скандалы вокруг ситуации с дырами в безопасности возникли на фоне той ситуации, когда Shadow Brokers слили в Сеть мощные эксплойты, принадлежащие АНБ США. Специалисты видят в новом регламенте положительные моменты, признавая, что использование уязвимостей может иметь серьезные последствия для конфиденциальности и безопасности.

Тем не менее, эксперты обеспокоены потенциальными политическими лазейками, особенно тем, как может раскручиваться ситуация в случае уязвимостей, используемых в уголовных делах.

VEP возник в 2010 году как попытка сбалансировать противоречивые правительственные приоритеты. С одной стороны, раскрытие той или иной уязвимости может не дать достаточного времени производителю на исправление. С другой стороны, эти бреши могут тайно использоваться разведкой в своих целях.

Все изменилось в 2014 году, когда АНБ обвинили в эксплуатации уязвимости Heartbleed в течение долгого времени. Отвергая эти обвинения и стремясь успокоить общественность, власти назвали VEP приоритетом в отношении защитных мер и раскрытия информации о наступательной эксплуатации.

Многие изменения VEP направлены на создание прозрачности, касающейся того, как следует поступать с уязвимостями. Специалисты пока неуверенны, насколько этот новый набор правил будет реализовываться на практике, но признают, что он лучше разработан для учета некоторых нюансов, — например, сложность патчинга определенных систем.

Новая политика также предусматривает ежегодные отчеты о деятельности VEP, включая неклассифицированное резюме. Опять же, пока неясно, как много информации они предоставят, и будут ли они запрашивать дополнительный контроль со стороны Конгресса или других органов, но такой отчет является необходимым шагом.