Американские власти могут в целях нацбезопасности отказываться от передачи производителям ПО данных о критических уязвимостях в их продуктах.
Некоммерческие компании сомневаются, выполняет ли правительство США свои обещания по информированию производителей ПО о наличии в их продуктах уязвимостей. Об этом сообщается в блоге организации Electronic Frontier Foundation (EFF).
Как сообщили представители EFF в понедельник, 30 марта, в результате судебного разбирательства они получили ряд значительно отредактированных документов от Управления директора национальной разведки США (Office of the Director of National Intelligence, ODNI). Причиной иска стала медлительность ведомства и АНБ в обработке запроса, поданного в июле прошлого года в рамках Акта о свободе информации (Freedom of Information Act, FOIA).
EFF интересовалась документами, связанными с правительственной программой Vulnerability Equities Process (VEP). Она предусматривает, что власти США будут сотрудничать с производителями ПО и сообщать им об обнаруженных уязвимостях нулевого дня в их продуктах.
Тем не менее, специалисты некоммерческой организации опасаются, что правительство США слишком долго удерживает эту информацию. В результате существенно возрастает риск компрометации продуктов, в которых были обнаружены уязвимости, в то время как американские власти обязались защитить их от потенциальных атак со стороны других государств.
По данным правительства США, компании немедленно уведомляются об уязвимостях в их ПО, но в случае угрозы нацбезопасности эта информация временно удерживается. Каксообщил координатор по кибербезопасности и специальный помощник президента США Барака Обамы Майкл Дэниел (Michael Daniel) в блоге Белого дома, в случаях, когда данные о брешах позволяют отразить нападение террористов, информация временно удерживается и не разглашается.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий