Часть 1. Вводная (вынес сюда прописные истины, всем известные)
До недавнего времени добропорядочные исследователи безопасности (white hat) фактически не занимались исследованиями безопасности российских средств защиты информации. Связано это было с рядом факторов:
· важная часть нормативных документов (например, недавние требования к МЭ), требований регуляторов к СЗИ недоступна широкому кругу исследователей – доступ получают только разработчики СЗИ – лицензиаты ФСТЭК и ФСБ; а значит не заинтересованы в привлечении широкого круга лиц
· испытательные лаборатории – только выполняют формальную проверку соответствия функций СЗИ – требованиям регулятора и в лучшем случае проходят сканнером уязвимостей. В детальном ручном поиске уязвимостей они не заинтересованы, так как основной показатель и критерий их работы (почему производители обращаются к данным ИЛ) это: быстрые сроки испытаний, качественно подготовленная документация (которая точно устроит орган сертификации) и выполнение всех формальных процедур. В ручном поиске уязвимостей, в поиске нестандартных уязвимостей ИЛ не заинтересованы
· производители СЗИ не заинтересованы в привлечении сторонних экспертов для поиска уязвимостей:
o большинство производителей не предоставляет тестовые или финальные дистрибутивы СЗИ (только платные дистрибутивы для действующих заказчиков)
o если производитель и предоставляет СЗИ на тестирование, то под подписку о неразглашении информации (NDA)
o даже если уязвимость в СЗИ обнаруживалась, информация об этом передавалась на техподдержку производителя, то уходили годы прежде чем она была исправлена
В результате большинство российских исследователей, не видя возможности получить хоть какую-то выгоду от тестирования безопасности СЗИ, уходили заниматься иностранными производителями, участвовали в зарубежных программах bug bounty, публиковались и зарабатывали репутацию на иностранных CVE. Сложилось общественное мнение что в российских СЗИ имеется большое количество багов и уязвимостей, стоит только копнуть и сразу найдешь пачку, да только вот копать никому не хочется.
Но последние год-два ситуация стала меняться:
· в основном силами ФСТЭК России, которые запустили гос. Банк данных угроз, на мероприятиях по ИБ регулярно призывают исследователей к сотрудничеству
· ФСТЭК России показали, что эти призывы – не пустые слова: по всем случаям добавления в БДУ информации об уязвимостях в российских СЗИ было обеспечена оперативная реакция со стороны производителя, выпущены обновления, отправлены на контроль эффективности в ИЛ, вносятся изменения в документацию сертифицированных СЗИ, опубликована информация об уязвимости как на сайте производителя, так и на сайте ФСТЭК России – вспомним прошлые про Cisco и Secret Net и недавнее про Dallas Lock .
· Появились заказчики, которые заинтересованы в отсутствии уязвимостей в СЗИ которые составляют их систему защиты.
Продолжение в части 2 .