После почти года юридических проволочек федеральное правительство США согласилось обнародовать правила раскрытия информации об уязвимостях. Хотя до этого чиновники всячески отпирались, прикрываясь тем, что информация засекречена и содержит строго конфиденциальные сведения, в конце прошлой недели они передумали и отправили тщательно отредактированный документ в EFF.

Документ озаглавлен «Процесс документирования уязвимостей» (Vulnerabilities Equities Process, VEP) и приводит список критериев, при помощи которых в правительстве определяют, подлежит ли информация об уязвимости, обнаруженной сотрудниками правительства или его подрядчиками, публикации. Свод правил на 13 страницах применим к различным программным и аппаратным решениям, в том числе к системам, разработанным для правительственных нужд, коммерческим системам, АСУ ТП и серверам управления доступом в Интернет.

«Правительственные учреждения обязаны засекречивать и/или передавать на дальнейшую обработку в соответствии с политиками секретности определенного департамента или агентства уязвимости, обнаруженные правительственными организациями или сторонними организациями, являющимися подрядчиками правительственных организаций, а также обнаруженные и предоставленные частными лицами и компаниями и/или иностранными союзниками правительственным организациям США до начала процесса документирования», — говорится в документе.

«В некоторых случаях гриф секретности может быть снят с информации, но при этом она будет классифицирована как «защищенная информация о критической инфраструктуре» (Protected Critical Infrastructure Information, PCII) и защищена в соответствии с правилами протокола DHS PCII. Классификация и степень секретности данных могут подвергаться изменениям в ходе процесса. Решение о присвоении информации уровня секретности может означать, что информация попадает под действие протокола PCII, требующего соответственного обращения с информацией. Факт существования уязвимости, а также сведения о том, какая информация подвергается риску из-за ее наличия, будут засекречены в соответствии с рекомендациями о секретности, установленными на благо национальной безопасности», — говорится в документе.

В прошлом году EFF подала иск, требуя от АНБ и управления делами директора национальной разведывательной службы публикации VEP. Представители правительства несколько раз публично обсуждали правила разглашения, но с оговорками. В прошлом году сотрудники Белого дома отметили, что правительство не против обнародования информации об уязвимостях, но рассматривает каждый случай по отдельности.

«Раскрытие информации об уязвимости для нас может означать потерю возможности собрать критически важные разведданные, которые могли бы предотвратить теракт или кражу интеллектуальной собственности или даже помогли бы обнаружить еще более критичные уязвимости, которые используются хакерами или противником для эксплуатации наших сетей», — заявил тогда в блоге Майкл Дэниел (Michael Daniel), специальный советник президента США по вопросам кибербезопасности.

Значительная часть свежей версии документа, представленной на прошлой неделе, подверглась редакции, в том числе рекомендации, описывающие порядок действия агентств при оценке необходимости раскрытия данных об уязвимости. В EFF считают, что публикация VEP — это существенный шаг вперед, но он не предоставляет полной картины, если учесть многочисленные правки.

«В документе осталось большое количество пробелов. Подробности о процессе раскрытия информации об уязвимостях отредактированы, хотя сопутствующая информация некоторым образом описывает, какие организации в правительстве вовлечены в процесс и какие уязвимости рассматриваются к публикации. Стоит отметить, что одно из управлений при АНБ, в сферу ответственности которого входит VEP, хранит записи обо всех обнаруженных уязвимостях и на их основе формирует ежегодный отчет», — заявил представитель EFF Эндрю Крокер (Andrew Crocker) в блоге.

Использование уязвимостей нулевого дня для разведывательной деятельности и расследования преступлений — противоречивая практика правительства, которая подверглась жесткой критике в свете публикаций Эдварда Сноудена. Защитники права на приватность и ИБ-исследователи давно запрашивали данные о том, как правительство использует данные о 0-day, и публикация VEP — первый случай, когда правительство вняло просьбам ИБ-сообщества.

Категории: Главное, Кибероборона, Уязвимости, Хакеры