СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 2
Вводную часть вынес в отдельную статью чтобы не загружать читателей прописными истинами.
Часть 2. К сути
Так получилось, что каждая
неожиданно опубликованная уязвимость в сертифицированном СЗИ обходится производителю
достаточно дорого:
·
Если новая версия СЗИ находилась на
сертификации (а это продолжительный процесс от 0.5 до 2х лет. Можно сказать,
что у крупных производителей СЗИ всегда находятся на сертификации) и эта версия
подвержена опубликованной уязвимости, то СЗИ автоматически снимается с
сертификации и отправляется на доработку и потом на повторные испытания. В
зависимости от сложности проблемы — это может отложить на 2-6 месяцев выход
новой версии СЗИ на рынок. И время тут - деньги
·
Если СЗИ уже было сертифицировано, всё равно,
после выпуска патча его надо отправить на инспекционный контроль, это
дополнительные пара месяцев ожиданий и оплата услуг испытательной лаборатории от
100 до 500 тыс. руб.
·
Любое изменение в контрольных суммах
сертифицированного СКЗИ – это уже новое СКЗИ, его запускаем на сертификацию как
новое СКЗИ, а это уже подороже чем просто инспекционный контроль.
·
Дальше интереснее. Без бумажки
сертифицированное СЗИ – не СЗИ. Изменение СЗИ влекут за собой изменения
формуляра, ТУ, эксплуатационной документации. Все эти документы нужно донести
до Заказчиков. Расходится бумажная волна.
·
А ещё есть большое количество заказчиков (особенно
Госы) которые производили установку СЗИ с привлечением лицензиатов. Пока
обновления СЗИ достаточно нетривиальные им приходится повторно привлекать лицензиата
на каждое обновление. Если уязвимости начнут появляться каждый месяц –
заказчики будут в расстройстве и могут даже захотеть поменять СЗИ.
И вот тут складывается ситуация,
когда исследователь российского СЗИ может диктовать свои условия – получать вознаграждение
за свою работу, получать благодарность от производителя и регулятора (популярность,
поклонники…) а в ответ идти на уступки и не публиковать информацию об
уязвимости сразу в открытый доступ.
Проблема с отсутствием
дистрибутивов в открытом доступе – вполне решаемая: обращайтесь к сообществу –
наверняка найдется заказчик, пользователь СЗИ которому будет интересно наличие
уязвимостей, и он предоставит вам дистрибутив во временное пользование.
Что в такой ситуации предпринять
производителям сертифицированных СЗИ? Не ждать пока вас поставят в неудобную
позицию:
·
больше внимания уделять внутреннему тестированию
безопасности СЗИ
·
публиковать программы поиска уязвимостей bug bounty
·
публиковать правила по обращению при обнаружении
уязвимостей – указывайте там условия, которые будут и вас и исследователей (взаимная
выгода)
·
возможно стоит сообществом производителей СЗИ
совместно с регуляторами и представителями исследователей ИБ разработать
политику ответственного разглашения информации об уязвимостях, которая будет компромиссом
для всех. Выложить её на БДУ
Как предложил в твиттере Артем Агеев – на БДУ
нужно сделать Hall of Fame,
раздел с благодарностями и отчетами, по которым можно будет оценить вклад
отдельных исследователей ИБ и исследовательских организаций. Это позволит добавить
нефинансовую мотивацию исследователям.
И ещё такой момент. Все знают
вендоров, у которых нашли уязвимость. Но ещё за проверку сертифицированных СЗИ
несут ответственность испытательная лаборатория и орган по сертификации. Надо
чтобы они тоже отвечали за пропущенные баги. Ну хотя бы так:
·
в случае с Secret Net – уязвимость при испытаниях не обнаружила - ЗАО "НПО
"Эшелон"
·
в случае с Dallas Lock – “отличились” ЗАО
"Лаборатория ППШ" совместно с ЗАО "НПО "Эшелон"
Комментарии