Уязвимости – схема лечения для политиков

Большая часть происшествий, связанных с цифровой безопасностью, порождается различного рода злоумышленниками, будь то киберпреступники или группы, поддерживаемые государством. Они используют уязвимости в цифровых экосистемах организаций в собственных преступных целях.

Эффективным средством повышения кибербезопасности становится устранение уязвимостей до того момента, как их обнаружат «пираты». В документе рассматриваются уязвимости в коде продуктов (программное обеспечение) и их внедрение в информационные системы.

Техническое сообщество довольно далеко продвинулось в разработке практик устранения уязвимостей, в том числе, посредством скоординированного раскрытия уязвимостей (co-ordinated vulnerability disclosure, CVD), реализации политики раскрытия уязвимостей и вознаграждения за их раскрытие. Однако, серьезные проблемы экономического и социального характера (правовые барьеры, рыночные стимулы, недоверие к правительству, недостаток ресурсов и навыков) не позволяют заинтересованным лицам использовать передовой опыт. Решением может случить скоординированная государственная политика, направленная на устранение препятствий и поощрения работы с уязвимостями. В частности, может быть использована поддержка «белых» хакеров, которые, однако, не защищены в правовом поле и находятся под угрозой со стороны бизнеса и правительств, а также работа с «серым» рынком и международное сотрудничества.

На основе данного документа будет разработана новая рекомендация ОЭСР по работе с уязвимостями.

Источник: Encouraging vulnerability treatment: Overview for policy makers