Процесс оценки уязвимостей
Процесс оценки уязвимостей (англ. Vulnerabilities Equities Process, VEP) — это процедура, используемая правительством США для индивидуального рассмотрения способов обращения с ранее неизвестными уязвимостями информационной безопасности (уязвимостями нулевого дня): раскрывать их общественности во имя повышения уровня безопасности компьютерных систем или сохранять в тайне для возможного наступательного применения против противников государства[1].
Процесс оценки уязвимостей был впервые разработан в 2008—2009 годах, но стал известен широкой публике лишь в 2016 году, когда государство опубликовало сокращённую версию документа VEP в ответ на запрос по Закону о свободе информации (FOIA) от организации «Электронный фронтир» (англ. Electronic Frontier Foundation)[2][3].
Под давлением общественности с требованием большей открытости, вызванным делом Shadow Brokers, правительство США в ноябре 2017 года опубликовало дополнительную версию процедуры VEP[1][4].
Участники
Согласно документу VEP, опубликованному в 2017 году, ключевым органом для межведомственного рассмотрения и принятия решений по вопросам VEP является Совет по рассмотрению уязвимостей (англ. Equities Review Board, ERB)[4]. ERB проводит заседания ежемесячно, но может быть оперативно созван в случае необходимости.
В состав ERB входят представители следующих ведомств:
- Административно-бюджетное управление
- Управление директора национальной разведки США (включая Центр координации безопасности разведывательного сообщества)
- Министерство финансов США
- Госдепартамент США
- Министерство юстиции США (включая Федеральное бюро расследований и Национальную объединённую целевую группу по расследованиям киберпреступности)
- Министерство внутренней безопасности США (включая Национальный центр по интеграции кибербезопасности и коммуникаций и Секретную службу США)
- Министерство энергетики США
- Министерство обороны США (включая Агентство национальной безопасности с подразделениями по информационной гарантии и радиоэлектронной разведке, Киберкомандование США и Центр киберпреступности Минобороны)
- Министерство торговли США
- Центральное разведывательное управление
Исполнительным секретариатом VEP выступает Агентство национальной безопасности[4].
Процесс
В редакции VEP от ноября 2017 года процесс реализуется следующим образом:
Когда ведомство обнаруживает уязвимость, оно обязано как можно быстрее уведомить секретариат VEP. В уведомлении указывается описание уязвимости, затронутые продукты или системы, а также рекомендация ведомства — раскрывать или ограничить распространение информации об уязвимости.
Секретариат в течение одного рабочего дня информирует всех участников об этом заявлении и запрашивает отклик от заинтересованных сторон[4].
Заинтересованное ведомство обязано в течение пяти рабочих дней сообщить — согласно ли оно с рекомендацией о раскрытии или ограничении информации. В противном случае, инициируется обсуждение между заинтересованным агентством, подавшим заявку, и секретариатом VEP в течение семи рабочих дней с целью достижения консенсуса. При отсутствии консенсуса вырабатываются варианты для рассмотрения Советом по рассмотрению уязвимостей.[4]
Решения о раскрытии или ограничении уязвимости должны приниматься оперативно, с привлечением всех заинтересованных ведомств, в интересах баланса государственных задач США. По возможности решения основаны на рациональных и объективных критериях — учитывая распространённость, значимость и степень опасности уязвимости.
Если члены Совета не достигли согласия, проводится голосование по предварительному решению. Если ведомство, имеющее заинтересованность, не согласно с этим решением, оно может, уведомив секретариат VEP, инициировать его пересмотр. Если возражения отсутствуют, предварительное решение утверждается как финальное.[4]
Если информация об уязвимости раскрывается, это осуществляется максимально быстро (желательно в течение семи рабочих дней).
Раскрытие происходит по заранее согласованным между участниками правилам. Подразумевается, что агентство-инициатор лучше всего ознакомлено с уязвимостью, потому именно оно отвечает за передачу данных поставщику программного продукта. При необходимости эта функция может быть передана другому ведомству.
Ведомство, осуществившее раскрытие, направляет копию материалов секретариату VEP для учёта. Также от него ожидается мониторинг — чтобы Совет по рассмотрению уязвимостей мог зафиксировать, насколько действия производителя соответствуют требованиям правительства. В случае отказа или слишком медлительной реакции поставщика, агентство информирует об этом секретариат, и государство вправе предпринять другие меры по снижению риска.[4]
Критика
Процесс оценки уязвимостей подвергался критике по ряду направлений — за ограничения, связанные с соглашениями о неразглашении, отсутствие системы рейтинга рисков, предоставление особого статуса АНБ и недостаточно последовательный приоритет раскрытия как основного сценария.[5]
Аналог в Великобритании
Британские разведывательные службы, в особенности Правительственный центр связи Великобритании (англ. GCHQ), применяют схожий механизм — также именуемый процессом оценки уязвимостей (англ. Equities Process) для принятия решений о разглашении или сохранении в тайне обнаруженных уязвимостей[6]. В 2022 году в Закон о надзорных полномочиях 2016 года (англ. Investigatory Powers Act 2016) были внесены изменения, которые передали надзор за процедурой в ведение Комиссара по надзорным полномочиям[7]. Детали процедуры в Великобритании были обнародованы в 2018 году[8].