Руководство Trump публикует правила раскрытия кибер-ошибок
Логотип блога

Windwix.ru

Блог Тришкина Дениса

Об операционных системах windows

Руководство Trump публикует свои правила для принятия решения о том, следует ли раскрывать недостатки кибербезопасности или хранить их в секрете

иконка автора
иконка публикации в 21:57
 

Администрация Trump публично опубликовала в среду свои правила для принятия решения о том, следует ли раскрывать недостатки кибербезопасности или хранить их в секрете, чтобы повысить прозрачность процесса, который давно скрыт в тайне.

Этот шаг является попыткой правительства США обратиться к критике, что он слишком часто угрожает безопасности в Интернете путем накопления обнаруженных ими кибер-уязвимостей, чтобы сохранить возможность запуска собственных атак на компьютерные системы.

Пересмотренные правила, опубликованные на сайте whitehouse.gov, призваны пролить свет на процесс того, как различные федеральные агентства взвешивают затраты на сохранение секретности, сказал Роб Джойс, координатор кибербезопасности Белого дома.

Выступая на мероприятии в Институте Аспена в Вашингтоне, Джойс сказал, что эти правила были «самыми сложными» в мире и что они отделяют Соединенные Штаты от большинства других стран.

Частные компании, по его словам, «не получают советов от Китая, России, Северной Кореи, Ирана» о недостатках в своей технологии.

При бывшем президенте Бараке Обаме правительство США создало межучрежденческий обзор, известный под названием «Процесс акций с уязвимостями», чтобы определить, что делать с недостатками, обнаруженными прежде всего разведывательными агентствами, такими как Агентство национальной безопасности (NSA).

Этот процесс призван сбалансировать правоприменение, а разведка США хочет взломать устройства с необходимостью предупреждать производителей, чтобы они могли исправлять дыры, прежде чем преступники и другие хакеры воспользуются ими.

Новая партия управления Trump в процессе объясняет, как она функционирует и называет агентства, участвующие в обзорах уязвимостей. К ним относятся разведывательные службы в дополнение к нескольким гражданским департаментам, включая департаменты торговли, казначейства, энергетики и государства.

НСА указана в качестве «исполнительного секретариата» межучрежденческой группы, которому поручено координировать дебаты по поводу недостатков, представленных различными учреждениями, если есть разногласия относительно того, следует ли их раскрывать. Если разногласия не будут согласованы, группа будет голосовать за то, чтобы раскрыть или сохранить недостаток.

Правила также требуют годового отчета, часть которого будет обнародована, в котором указаны показатели количества обнаруженных, обнаруженных и раскрытых недостатков.

 

Согласно уставу, решения о сохранении уязвимостей должны пересматриваться каждый год.

Публикация Хартии является «важным улучшением», — сказал Ари Скхарц, координатор Коалиции по политике и праву кибербезопасности и бывший кибер-чиновник администрации Обамы. Швартц сказал, что администрация Обамы пыталась опубликовать аналогичный документ до конца прошлого года, но у него не хватило времени.

Некоторые эксперты по безопасности долго критиковали этот процесс как чрезмерно скрытный и слишком часто заблуждающийся против раскрытия информации.

Джойс сказал в среду, что более 90 процентов недостатков в конечном итоге раскрыты, хотя некоторые критики говорят, что они недостаточно распределены и что самые серьезные недостатки слишком часто накапливаются.

Критика в начале этого года усилилась, когда глобальная атака на вымогательство, известная как WannaCry, заразила компьютеры по меньшей мере в 150 странах, отключила больницы в автономном режиме и нарушила услуги на заводах.

Атака стала возможной из-за недостатка программного обеспечения Microsoft от Microsoft, которое NSA использовало для создания инструмента взлома для собственного использования.

Но в расследовании американские исследователи все еще пытаются понять, что этот инструмент и другие оказались в руках таинственной группы под названием «Теневые брокеры», которая затем опубликовала их в Интернете.

Подозреваемые северокорейские хакеры обнаружили недостаток Windows и перепрофилировали его, чтобы развязать атаку WannaCry, согласно кибер-экспертам. Северная Корея регулярно отрицала участие в кибератаках против других стран.

Отвечая на вопрос о нападении WannaCry, Джойс отказалась сказать, прошел ли дефект Windows, обнаруженный NSA, в процессе проверки уязвимости.

Источник новости

С уважением, Денис Тришкин

Понравилась статья? Делитесь с друзьями в соцсетях

Похожие статьи

Подписывайтесь на обновления блога!

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *


стрелка вверх