CISA выпустила чрезвычайную директиву для обеспечения госорганами написания политик раскрытия уязвимостей
Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (CISA) США выпустило чрезвычайную директиву (Binding Operational Directive). По состоянию на сегодняшний день только считанные государственные организации и ведомства в США имеют свои реализованные программы по сотрудничеству с внешними ИБ-исследователями для поиска уязвимостей в ПО или же критической инфраструктуре.
Теперь, чтобы положить конец этому явлению, Агентство кибербезопасности и инфраструктурной безопасности Министерства внутренней безопасности дает агентствам шесть месяцев до марта 2021 года на создание программ, известных как политики раскрытия уязвимостей (vulnerability disclosure policies (VDPs)).
CISA в среду выпустила директиву, требующую от агентств создать VDPs, которые предусматривают возможность подачи информации от исследователей по кибербезопасности, которые действуют добросовестно в целях информирования организацию-источник утечки. Агентства в своих программах должны будут позволить экспертам анонимно представлять отчеты об уязвимостях, которые будут охватывать по крайней мере одну доступную в интернете систему или услугу данного агентства.
Мы считаем, что лучшая безопасность правительственных компьютерных систем может быть реализована только тогда, когда людям будет предоставлена возможность помочь.
Bryan Ware, заместитель директора CISA по кибербезопасности
Белый Дом повторил эту формулировку в меморандуме для агентств, поддерживающих инициативу VDP и устанавливающих дедлайны на резолюцию. В недалеком будущем Политики должны будут охватить все доступные через интернет сервисы федеральных ведомств, в том числе те, что изначально не задумывались как доступные через интернет.
Усилия по принятию таких инициатив на Федеральном уровне в США совпадают с постепенным внедрением их в сектор избирательной инфраструктуры к выборам Президента. Например, месяц назад Огайо стал первым штатом, выпустившим VDP для сайтов, связанных с выборами. На той же неделе крупнейший поставщик оборудования для голосования в США объявил о своем собственном VDP.
Уже через 60 дней в CISA намерены опубликовать полное руководство о формировании политик раскрытия уязвимостей.