Правозащитники сомневаются в политике разглашения уязвимостей властей США

Некоммерческие компании сомневаются, выполняет ли правительство США свои обещания по информированию производителей ПО о наличии в их продуктах уязвимостей. Об этом сообщается в блоге организации Electronic Frontier Foundation (EFF).

Как сообщили представители EFF в понедельник, 30 марта, в результате судебного разбирательства они получили ряд значительно отредактированных документов от Управления директора национальной разведки США (Office of the Director of National Intelligence, ODNI). Причиной иска стала медлительность ведомства и АНБ в обработке запроса, поданного в июле прошлого года в рамках Акта о свободе информации (Freedom of Information Act, FOIA).

EFF интересовалась документами, связанными с правительственной программой Vulnerability Equities Process (VEP). Она предусматривает, что власти США будут сотрудничать с производителями ПО и сообщать им об обнаруженных уязвимостях нулевого дня в их продуктах.

Тем не менее, специалисты некоммерческой организации опасаются, что правительство США слишком долго удерживает эту информацию. В результате существенно возрастает риск компрометации продуктов, в которых были обнаружены уязвимости, в то время как американские власти обязались защитить их от потенциальных атак со стороны других государств.

По данным правительства США, компании немедленно уведомляются об уязвимостях в их ПО, но в случае угрозы нацбезопасности эта информация временно удерживается. Как сообщил координатор по кибербезопасности и специальный помощник президента США Барака Обамы Майкл Дэниел (Michael Daniel) в блоге Белого дома, в случаях, когда данные о брешах позволяют отразить нападение террористов, информация временно удерживается и не разглашается.