Британская спецслужба пояснила принцип раскрытия сведений об уязвимостях в ПО.
Центр правительственной связи Великобритании (Government Communications Headquarters, GCHQ) впервые раскрыл подробности о принципе, по которому принимает решения о том, стоит ли сообщать производителям об уязвимостях в их решениях или лучше умолчать о багах «в интересах национальной безопасности».
Информация о каждой новой проблеме должна раскрываться по умолчанию, однако, если уязвимость может служить национальным интересам, спецслужба оставляет за собой право «придержать» ее. В таком случае после «тщательной оценки» решение принимает совет экспертов ЦПС, Центра национальной компьютерной безопасности (NCSC) и Минобороны Великобритании с учетом трех критериев: возможное восстановление, операционная необходимость и оборонный риск. Первый оценивает, какие действия потребуются для устранения последствий уязвимости и окажет ли негативное влияние на национальную безопасность обнародование информации о ней. Второй критерий оценивает преимущества сокрытия уязвимости для разведслужб, а третий рассматривает, как неразглашение может повлиять на безопасность правительственных структур, граждан и компаний, критической инфраструктуры или других государств.
Необнародованные уязвимости могут использоваться для сбора разведданных и вмешательства в операции киберпреступных группировок или «государственных» хакерских команд, представляющих угрозу для страны, поясняет спецслужба. Вместе с тем, утаивая информацию от разработчиков и производителей, ЦПС подвергает риску рядовых пользователей, поскольку уязвимость останется неисправленной, и ее могут обнаружить киберпреступники.
Кроме того, ЦПС может воздержаться от обнародования данных об уязвимостях в устаревшем программном обеспечении, более не поддерживаемом производителем, а также в случаях, когда уязвимости в устройствах исправить невозможно.
Гравитация научных фактов сильнее, чем вы думаете